DRP-ОИО-JET-2003_8

КО Р П О РА Т И В Н Ы ЕС И С Т Е М Ы

№ 8 (123)/2003И Н Ф О Р М А Ц И О Н Н Ы Й Б Ю Л Л Е Т Е Н Ь

Руководство по составлениюПлана действий для ОтделаИнформационных технологий


Непрерывность бизнеса в нештатных ситуацияхНепрерывность бизнеса в нештатных ситуациях

Введение

Цели чрезвычайного Плана ОтделаИнформационных технологий

Целями чрезвычайного Плана Отдела Информаци�онных технологий являются:

• Обеспечение бесперебойной работы Отдела.• Защита служащих и имущества Отдела от воз�

можных угроз.• Обеспечение сохранности критически важной

для организации информации.

В Плане документируются согласованныерешения, обеспечивающие бесперебойность рабо�ты Отдела, приводится набор процедур реагирова�

ния на бедствия и описывается способ их примене�ния.

Под бедствием понимается возникновениелюбого события, которое вызывает значительноенарушение деятельности Отдела Информацион�ных технологий.

Настоящий План рассчитан на масштабноебедствие (катастрофу), которое требует переезда врезервное помещение. При событиях менее серь�езного характера осуществляются мероприятия всоответствии с определенной частью полного Пла�на.

В Плане изложены: подход, допущения и по�следовательность действий в нештатных ситуаци�ях. В нем описываются подготовительные меропри�ятия, которые выполняются при штатном функци�онировании, и процедуры, выполняемые после на�ступления бедствия.

Содержание

Введение.......................................................................................................................................................................2План действий для отдела Информационных технологий при крупных бедствиях(катастрофах)..............................................................................................................................................................5Восстановление деятельности в резервном помещении................................................................................ 9Группы восстановления после бедствий.............................................................................................................. 15Поставщики.................................................................................................................................................................. 20Упорядочение всех прикладных систем по приоритетам............................................................................... 21Защита носителей информации.............................................................................................................................23Процедуры эксплуатации серверных помещений........................................................................................... 25Операционная система...........................................................................................................................................25Физическое обеспечение безопасности и управление доступом.............................................................. 25Защита программного обеспечения.................................................................................................................... 26Резервные центры обработки данных (ЦОД)......................................................................................................26Объем страховой ответственности........................................................................................................................ 28Ведение и выполнение плана..................................................................................................................................28Ведение плана действий в непредвиденных обстоятельствах....................................................................... 28Контрольный перечень для планирования на случай бедствий.....................................................................29Приложение 1. Межотраслевая классификация бизнес4процессов на предприятиях......................................................................................................................................................... 38

Б.Д. АльтерманВ.И. ДрожжиновГ.Е. Моисеенко

Непрерывность бизнеса в нештатных ситуациях


3

Руководство по составлению Плана действий для Отдела Информационных технологий

План рассылается всем указанным сотруд�никам, которые должны периодически получатьобновленные версии. Общий подход состоит в том,чтобы сделать план как можно более универсаль�ным, независимым от типа бедствия.

Работы в рамках чрезвычайного плана ведут�ся заранее сформированными и обученными груп�пами восстановления деятельности после бедствия(в дальнейшем «группы»). Руководителями каждойгруппы и их заместителями являются определен�ные сотрудники Отдела Информационных техно�логий. В плане указаны номера телефонов членовгрупп. Он представляет собой непрерывно обнов�ляемый документ, который поддерживается в рабо�чем состоянии благодаря процессу обновлений, ис�пытаний и экспертиз. План должен отражать акту�альное состояние рабочей среды организации.

Допущения Плана Отдела Информа@ционных технологий

Рассматриваемый План предполагает наступлениекатастрофического события, которое наносит су�щественный ущерб деятельности Отдела, вынуж�дая восстанавливать его работу в оборудованномрезервном помещении. Хотя настоящий План раз�работан на основе предположения о возникнове�нии катастрофического бедствия, связанного сполной передислокацией на резервную площадку,его можно быстро адаптировать и для менее серь�езных событий.

В качестве резервных площадок рассматри�ваются два типа резервных помещений: «холод�ное» и «горячее». «Холодное» – это пустое поме�щение, оборудованное фальшполом, кондиционе�рами воздуха, электроснабжением, противопожар�ными средствами, т.е. помещение полностью гото�вое к установке вычислительного оборудования.Основные проблемы, которые возникают при ори�ентации на «холодное» резервное помещение,обычно связаны с приобретением и развертывани�ем новых аппаратных средств. Как правило, имен�но это занимает большую часть времени. «Горячее»резервное помещение, напротив, является полно�стью оборудованным и функционирующим вычис�лительным центром, готовым к использованию вчрезвычайных обстоятельствах. В целях проверкиреализации Плана организация должна проводитьтестирование работоспособности своих приклад�ных систем на резервном оборудовании.

В зарубежной практике организации, предо�ставляющие услуги по восстановлению деятельно�сти после бедствия, предлагают широкий спектр«горячих» резервных помещений. Контрактом напредоставление услуг предусматривается проведе�

ние нескольких испытаний в течение года. Это поз�воляет гарантировать правильность работы всехприкладных систем в резервном помещении.

Среда обработки данных

В данном разделе приводится краткое описаниевычислительного центра, включая описание при�кладных систем и технической поддержки.

Указатель чрезвычайного Плана От@дела Информационных технологий

1 ПЛАН ДЕЙСТВИЙ ПРИ КРУПНЫХ БЕДСТ�ВИЯХ (КАТАСТРОФАХ)

1.1 Обнаружение и реагирование1.1.1 Идентификация проблемы; уведомле�

ние руководства1.1.1.1 Аварийные службы1.1.1.2 Среда эксплуатации1.1.1.3 Физическая безопасность

1.1.2 Уменьшение вероятности дополнитель�ного ущерба1.1.2.1 Отказ кондиционера воздуха1.1.2.2 Процедуры при пожарной тре�

воге1.1.2.3 Процедуры при отказе электри�

ческого питания1.1.2.4 Ущерб от затопления и поступ�

ления воды 1.1.3 Эвакуация помещения1.1.4 Уведомление Группы управления в

чрезвычайной ситуации1.1.5 Определение последовательности ша�

гов, выполняемых на этапе обнаруже�ния и реагирования

1.2 Начало выполнения процедур по разверты�ванию резервного помещения1.2.1 Уведомление других групп Группой уп�

равления в чрезвычайной ситуации1.2.2 Создание Центра управления1.2.3 Начало деятельности Группы восста�

новления после бедствия и регистрацияинформации в Журнале регистрациидействий по восстановлению после бед�ствия

1.3 Полное восстановление деятельности в ре�зервном помещении1.3.1 Обеспечение перемещения аппаратных

средств, ПО и других ресурсов в резерв�ное помещение; запуск и тестированиеприкладных систем

4

Б.Д. Альтерман, В.И. Дрожжинов, Г.Е. Моисеенко

1.3.2 Обеспечение функционирования сетисвязи

1.3.3 Контрольные перечни Группы восста�новления после бедствия

1.4 Восстановление производственных помеще�ний и их функционирования в первоначаль�ном и (или) резервном производственных по�мещениях

2. ГРУППЫ ВОССТАНОВЛЕНИЯ ДЕЯТЕЛЬНО�СТИ ПОСЛЕ БЕДСТВИЯ

2.1 Организационная структура Отдела инфор�мационных технологий

2.2 Состав, функции и обязанности групп2.2.1 Координатор планирования на случай

бедствий2.2.2 Группа управления в чрезвычайной си�

туации2.2.3 Группа эксплуатации вычислительных

систем• Эксплуатация компьютеров• Подготовка помещения• Замена оборудования• Подготовка «холодного» резервного

помещения• Оборудование, обеспечивающее

функционирование компьютеров• Материалы

2.2.4 Группа ввода и контроля ввода�выводаданных• Ввод данных• Контроль данных

2.2.5 Группа специальных проектов• Перевозка в резервные помещения и

из них• Обучение• Административные услуги

2.2.6 Группа технической поддержки• Системное программное обеспече�

ние• Сеть связи

2.2.7 Группа базы данных• Восстановление базы данных и обес�

печение ее целостности 2.2.8 Группа систем и программного обеспе�

чения• Восстановление прикладных систем

и возобновление их работы• Прикладные программы

2.2.9 Группа Отдела страхования• Страхование и компенсация за спа�

сение имущества2.2.10 Группа Отдела внутреннего аудита

2.3 Заблаговременное планирование и текущиефункциональные обязанности групп

2.3.1 Координатор планирования на случайбедствий

2.3.2 Группа управления в чрезвычайной си�туации

2.3.3 Группа эксплуатации вычислительныхсистем

2.3.4 Группа ввода и контроля ввода�выводаданных

2.3.5 Группа специальных проектов2.3.6 Группа технической поддержки2.3.7 Группа баз данных2.3.8 Группа систем и программного обеспе�

чения2.3.9 Группа Отдела страхования2.3.10 Группа Отдела внутреннего аудита

3 ПОСТАВЩИКИ3.1 Поставщики нового и бывшего в употребле�

нии оборудования3.2 Поставщики программного обеспечения3.3 Поставщики средств связи3.4 Поставщики специального оборудования3.5 Поставщики вспомогательного офисного

оборудования3.6 Поставщики специальных бланков

4 УПОРЯДОЧЕНИЕ ВСЕХ ПРИКЛАДНЫХ СИ�СТЕМ ПО ПРИОРИТЕТАМ

4.1 Ранжирование всех систем по приоритетам

5 ЗАЩИТА НОСИТЕЛЕЙ ИНФОРМАЦИИ5.1 Защита и сохранение жизненно важных до�

кументов5.2 Защита базы данных

5.2.1 Резервные копии базы данных5.2.2 Обновления5.2.3 Описание базы данных5.2.4 Исходные тексты программного обес�

печения5.3 Стандартные процедуры создания резерв�

ных копий5.3.1 Ежедневная обработка данных5.3.2 Еженедельная обработка данных5.3.3 Ежемесячная обработка данных5.3.4 Ежегодная обработка данных5.3.5 Циклы прикладных систем5.3.6 Создание резервных копий дисков

5.4 Хранение вне производственного помещения5.5 Документация для систем и программ5.6 Резервные копии документации для ввода

данных5.7 Создание резервных копий файлов персо�

нальных компьютеров5.8 Специальные бланки5.9 Процедуры для микрофишей


6 ПРОЦЕДУРЫ ЭКСПЛУАТАЦИИ ПОМЕЩЕ�НИЯ, В КОТОРОМ НАХОДЯТСЯ КОМПЬЮ�ТЕРЫ

6.1 Процедуры включения питания6.2 Процедуры начальной загрузки6.3 Процедуры выключения питания6.4 Графики6.5 Регистрация вычислительных работ

Operations Run�Books6.6 Ответственные за прикладные системы

7 ОПЕРАЦИОННАЯ СИСТЕМА7.1 Операционная среда7.2 Список всех приобретенных пакетов про�

грамм7.3 Накопители на дисках и размещение файлов

8 ФИЗИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАС�НОСТИ И УПРАВЛЕНИЕ ДОСТУПОМ

8.1 Персонал, обслуживающий компьютеры8.2 Персонал Отдела информационных техноло�

гий8.3 Специалисты по техническому обслужива�

нию и сопровождению8.4 Персонал других компаний

8.4.1 Аппаратные средства8.4.2 Средства связи8.4.3 Прочее

8.5 Управление доступом8.6 Контроль доступа в охраняемое помещение с

бланками8.7 Доступ к хранилищу8.8 Нерабочее время8.9 Обязанности по обеспечению безопасности:

охрана8.10 Обеспечение безопасности офиса

9 ЗАЩИТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ9.1 Пароли на доступ к системам9.2 Сопровождение прикладных систем9.3 Ведение паролей

10 РЕЗЕРВНЫЕ ПОМЕЩЕНИЯ10.1 Абонирование резервного помещения10.2 План помещения

10.3 Техническое и программное обеспечение10.4 Средства связи10.5 Запасы материалов10.6 Испытания

10.6.1 Первоначальное испытание10.6.2 Восстановление файлов и библиотек10.6.3 Испытание критически важных при�

кладных систем10.6.4 Испытание систем связи10.6.5 Имитация бедствий10.6.6 Испытания компиляции программ

11 ВЗАИМНЫЕ СОГЛАШЕНИЯ

12 ОБЪЕМ СТРАХОВОЙ ОТВЕТСТВЕННОСТИ12.1 Страхование обработки данных12.2 Страхование аппаратного обеспечения ком�

пьютеров12.3 Страхование от прерывания деятельности

13 ВЕДЕНИЕ И ВЫПОЛНЕНИЕ ПЛАНА

14 ВЕДЕНИЕ ПЛАНА ДЕЙСТВИЙ В НЕПРЕДВИ�ДЕННЫХ ОБСТОЯТЕЛЬСТВАХ

14.1 Обязанности координатора планирования наслучай бедствий

14.2 Обязанности руководителя группы

15 КОНТРОЛЬНЫЙ ПЕРЕЧЕНЬ ДЛЯ ПЛАНИ�РОВАНИЯ НА СЛУЧАЙ БЕДСТВИЙ

15.1 Общие сведения15.2 Вычислительный центр15.3 Ввод данных15.4 Контроль данных15.5 Помещение, в котором находятся компьюте�

ры15.6 Библиотека резервных копий15.7 Системы и программирование15.8 Техническая поддержка15.9 Администрирование базы данных15.10Внутренний аудит15.11Страхование15.12Резервное помещение15.13Взаимные соглашения

ПЛАН ДЕЙСТВИЙ ДЛЯ ОТДЕЛА ИНФОРМАЦИОННЫХ

ТЕХНОЛОГИЙ ПРИ КРУПНЫХ БЕДСТВИЯХ (КАТАСТРОФАХ)

Цикл от возникновения бедствия до полного восстановления нормальной работы имеет четыре этапа: • Первоначальное реагирование• Подготовка к временной работе в резервном помещении• Полностью налаженная работа в резервном помещении• Восстановление основного производственного помещения и возвращение в него

5

6


Идентификация проблемы; уведомление руководства

Аварийные службы Позвонить по следующим телефонам, чтобы информировать местные власти о чрезвычайных ситуацияхтипа пожара, взрыва, землетрясения, урагана и т.п.:

Среда эксплуатацииЕсли обнаруженная проблема касается среды эксплуатации компьютеров, например, электрическогопитания, проникновения воды, перегрева, переохлаждения или влажности, связаться со следующимируководителями:

Если не удается связаться ни с одним из вышеупомянутых лиц, информировать следующихруководителей:

После контактов с одним из вышеупомянутых лиц решите к кому, в зависимости от возникшей проблемы,обращаться далее:

Снижение вероятности дополнительного ущербаОписанные ниже оперативные меры касаются чрезвычайных ситуаций, связанных с нарушением конди�ционирования воздуха, пожаром, нарушением электропитания или затоплением.

Отказ кондиционера воздухаТемпература помещения, в котором находятся компьютеры, не должна превышать 25 градусов, впротивном случае принимаются следующие меры:

1. Уведомляется дежурный службы эксплуатации. Он ставит в известность специалиста Отдела техниче�ского обслуживания о необходимости вмешательства, а затем сообщает о происшествии руководите�лю службы эксплуатации.

Служебный телефон Домашний телефон

Руководитель службы эксплуатации __________ _____4_______________

Старший менеджер по эксплуатации __________ _____4_______________

Чрезвычайный вызов Обычный номер

Пожарная служба ___ _____4______________

Отделение милиции ___ _____4_______________

Скорая помощь ___ _____4_______________

Служебный телефон Домашний телефонРуководитель ОтделаИнформационных технологий

__________ _______4_______________

Служебный телефон Домашний телефонРуководитель Отдела техническогообслуживания

__________ _______4_______________

Старший менеджер по техническомуобслуживанию

__________ _______4_______________

ОБНАРУЖЕНИЕ И РЕАГИРОВАНИЕНаименование шага Исполнитель Предпринимаемые меры

Идентификация проблемы Персонал Службы эксплуатации Уведомление руководства Службы эксплуатации

Охранник Вызов аварийных служб

Уменьшение последствий Персонал Службы эксплуатации Применение процедур действий в чрезвычайнойситуации

Эвакуация Охранник Электрическое питание, кондиционеры воздуха,ущерб от поступления воды

Все находящиеся в здании Эвакуация из здания

Уведомление Группы управления

в чрезвычайной ситуации

Персонал Службы эксплуатации См. приведенный ниже список

Охранник

7


2. Если температура поднимется выше 30 градусов, необходимо уведомить подрядчика на сервисное об�служивание технических средств. Руководитель службы эксплуатации должен решить, выполнениекаких не критичных для бизнеса прикладных программ может быть приостановлено.

Если руководитель Службы эксплуатации решает выключить компьютеры или они отключаются са�ми из�за чрезмерного перегрева, их не следует включать до получения разрешения от подрядчика на сер�висное обслуживание технических средств.

Процедуры в случае пожарной тревогиПри обнаружении пожара или дыма в помещении с компьютерами необходимо сделать следующее:

1. Немедленно выключить компьютеры.2. Попытаться погасить пожар ручным огнетушителем.

Примечание: огнетушитель должен быть установлен на стене рядом с дверью в помещение, в которомнаходятся компьютеры.

3. Если не удается погасить пожар:• Включите сигнал пожарной тревоги или вызовите пожарную охрану по телефону

_____��____________________(чрезвычайный вызов___________).• Позвоните охраннику по телефону ____________________.• Позвоните старшему менеджеру службы эксплуатации, который уведомит руководителя службы

эксплуатации и других руководителей.• Убедитесь, что дверь хранилища закрыта и заперта.• Возьмите с собой экземпляр Плана действий в непредвиденных обстоятельствах для Отдела

Информационных технологий (План ОИТ). • Выходя из помещения, в котором находятся компьютеры, выключите аварийный выключатель

электрического питания, расположенный рядом с дверью этого помещения.4. Если время позволяет:

• Перенесите используемые носители информации из помещения, в котором находятсякомпьютеры, в безопасное место.

• Закройте все оборудование большими пластиковыми пленками или листами.5. Информируйте о происшествии Группу управления в чрезвычайной ситуации (ГУЧС).

Процедуры при отказе электропитанияНа случай отказа электрического питания обслуживающий персонал должен быть обеспечен карманнымифонариками. Небольшой карманный фонарик более удобное средство, чем открытое пламя зажигалки.

Если в компьютерном помещении появились проблемы с электрическим питанием, необходимовыполнить следующие шаги:

1. Немедленно уведомить старшего менеджера службы эксплуатации, который известит Отделтехнического обслуживания и руководителя службы эксплуатации.

2. Выключить компьютеры, если это еще не было сделано.3. Старший менеджер службы эксплуатации уведомит организацию, обеспечивающую сервисное

обслуживание технических средств (Сервисный Центр) об отказе электрического питания. Он такжеуведомит Администраторов баз данных и программного обеспечения (Администраторов БД и ПО), сцелью их привлечения к восстановлению работоспособности системы. Если в Компании имеетсяСправочная служба, которая отвечает на звонки пользователей, он уведомит ее об ожидаемом срокевосстановления системы.

Процедуры в случае затопления.Ущерб от поступления воды может быть вызван срабатыванием или утечкой спринклерной системы,повреждением труб, поступлением воды из других помещений, например, при тушении пожара и т.п. Припоступлении воды необходимо выполнить следующие шаги:

1. Выключите компьютеры.

Руководитель __________ _______4_______________

Старший менеджер __________ _______4_______________

8


2. Выключите аварийный выключатель электрического питания.3. Закройте оборудование полиэтиленовой пленкой, которая должна иметься в хозяйственном отделе на

этот случай.4. Сообщите охраннику об инциденте с тем, чтобы он вызвал нужных специалистов по эксплуатации.5. Уведомьте старшего менеджера службы эксплуатации, с тем, чтобы он вызвал сервисного инженера,

обслуживающего подвергшиеся затоплению технические средства. Примечание: Специалист Сервисного Центра должен осмотреть оборудование для определения ущерба отпоступления воды прежде, чем оно будет включено снова.

Эвакуация помещенияПредприятия, как правило, имеют процедуры для организованной эвакуации здания. Эти процедурывключают в себя проверку оправданности эвакуации и указывают, кто уполномочен отдать распоряжениеоб эвакуации. Распоряжение об эвакуации из�за угрозы человеческой жизни, из�за пожара,землетрясений, наводнений, взрывов либо опасности взрыва может быть отдано любым лицом, но придругих, менее очевидных угрозах, эвакуацию разрешает ответственное должностное лицо.

Служащие должны быть обучены необходимым действиям при чрезвычайных ситуациях и знатьмаршруты эвакуации из здания. Для поддержания соответствующих навыков должны периодическипроводиться плановые учения. Во время учений сотрудники проигрывают чрезвычайные ситуации изнакомятся с людьми, руководящими эвакуацией.

Уведомление Группы управления в чрезвычайной ситуации (ГУЧС)

За своевременное информирование ГУЧС отвечает старший менеджер или руководитель службыэксплуатации. Если человек, находящийся на месте происшествия, не может установить контакт сруководством службы эксплуатации, он пытается сам связаться с ГУЧС. Все члены группы должны бытьсвоевременно оповещены о происшествии:

Уполномоченные члены ГУЧС после осмотра места происшествия делают первоначальную оценкуущерба, в соответствии с которой принимается решение о целесообразности приведения Плана ОИТ вдействие (полностью или частично). Группа принимает следующие решения:

1. Может ли быть продолжена работа компьютеров на месте происшествия в полном или ограниченномобъеме и начато выполнение планов ремонта или замены непригодного оборудования.

2. Определяет степень пригодности помещения для дальнейшей эксплуатации и принимает решение онеобходимости использования резервного помещения и запуске Плана ОИТ.

3. Намечает план дальнейших действий и информирует о нем высшее руководство.

Оценка ущербаННееззннааччииттееллььнныыйй уущщееррбб – обработка данных может быть возобновлена в короткое время без вызова спе�циального персонала. Ожидаемое время простоя – менее одного дня. Ущерб может быть нанесен аппарат�ным средствам, программному обеспечению, механическому оборудованию, электрооборудованию илизданию.

ССееррььееззнныыйй уущщееррбб – назначенные группы вызываются для восстановления нормальной работы всуществующем помещении. Предполагаемое время простоя – от двух до шести дней. Нанесенсерьезный ущерб аппаратным средствам или зданию.

ККааттаассттррооффаа – обширный ущерб. Восстановление потребует более одной недели. Помещение, вкотором находятся компьютеры, или здание может быть полностью разрушено. Вызываются всеруководители групп, чтобы начать полное выполнение Чрезвычайного Плана, в том числе:• Определение степени развертывания Плана (полномасштабно или частично).

Имя Служебный телефон Домашний телефон

_________________ ____________ ____44_____________

_________________ ____________ ____44_____________

_________________ ____________ ____44_____________

_________________ ____________ ____44_____________

9


• Уведомление высшего руководства.• Уведомление пользователей.• Подготовка регулярных отчетов о процессе восстановления для высшего руководства.• Уведомление пользователей о предполагаемом времени возобновления работ.

НАЧАЛО РАЗВЕРТЫВАНИЯ РЕЗЕРВНОГО ЦЕНТРА

Уведомление ГУЧС других групп

При возникновении чрезвычайной ситуации находящийся на месте происшествия персонал Службыэксплуатации, после принятия первоначальных мер, должен связаться с членами ГУЧС, начиная с первого имени в списке (форма А). Это лицо сразу же известит остальных членов ГУЧС. Группа собирается наместе бедствия, чтобы непосредственно оценить ущерб. Она определяет необходимые действия иуведомляет о них высшее руководство. Если принимается решение известить остальные группы, ГУЧСсвязывается с ними в соответствии с иерархической структурой оповещения. По телефону диктуетсякраткое сообщение, которое записывается получателем. По окончании чтения сообщения получательповторяет его, чтобы исключить искажение информации.

Та же процедура используется при передаче сообщений остальным лицам. Таким образом,гарантируется, что все оповещенные сотрудники обладают одной и той же информацией. В форме Ауказаны имена всех членов групп и номера их телефонов.

Создание Центра управления

Первая задача ГУЧС состоит в том, чтобы создать Центр управления. Он должен располагаться вблизиместа происшествия, например, в соседнем офисе или здании. Если ничего подходящего нет, можновоспользоваться близлежащей гостиницей. Центр управления должен обеспечить максимальнуюоперативность в течение этого периода.

Помимо основного здания в Плане ОИТ должна быть предусмотрена альтернативная площадкаразмещения Центра управления: _______________________________________________.

Альтернативным вариантом является _____________________________________.

Начало деятельности Группы восстановления после бедствия (ГВПБ).

Руководитель ГВПБ должен документировать работу группы, фиксируя ее в Журнале регистрациидействий по восстановлению после бедствия. На основе этих записей ГУЧС готовит для руководстваотчеты о процессе восстановления и направляет их в архив организации. Кроме того, ГУЧС используетжурнал для координации действий различных групп.

Наименование Служебный тел. Домашний тел.

Координатор планирования на случай бедствий

Группа управления в чрезвычайной ситуации

Группа эксплуатации вычислительных систем

Группа ввода и контроля ввода4вывода данных

Группа специальных проектов

Группа технической поддержки

Группа базы данных

Группа систем и программного обеспечения

Высшее руководство Отдела Информационных технологий

Группа Отдела страхования

Группа Отдела внутреннего аудита

10


ВОССТАНОВЛЕНИЕ ДЕЯТЕЛЬНОСТИ В РЕЗЕРВНОМ ПОМЕЩЕНИИ

Обеспечение функционирования сети связи и другого оборудования

Договоритесь с поставщиками услуг связи относительно поставки и установки временного оборудования,при этом, например, бывшее в употреблении оборудование может быть поставлено в очень короткое вре�мя. Проведите предварительное тестирование оборудования, чтобы гарантировать полное восстановлениефункций сети связи. Обеспечьте полное восстановление связи в исходном или новом помещении.

Контрольные перечни Группы восстановления после бедствия

Приведенные ниже контрольные перечни (Форма Б) должны использоваться каждым руководителемгруппы, чтобы отслеживать большую часть работ, выполняемых его группой. ГУЧС собирает этиконтрольные перечни и готовит детальный отчет о ежедневном выполнении работ. Перечни будут такжеиспользоваться для координации всех работ Центром управления.

Организация______________________ Форма Б

Контрольный перечень для восстановления после бедствияГРУППА: Управления в чрезвычайной ситуации Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________

Действия Ответственный Дата и времяначала

Дата и времяокончания

Координация первоначального реагирования на бедствие сиспользованием установленных для офиса процедур сцелью защиты жизни сотрудников и минимизации ущербаимуществу

Оценка ущерба

Уведомление высшего руководства

Принятие решения о выполнении Плана восстановленияпосле бедствия

Уведомление руководителей групп и начало процессавыполнения Плана

Подача официального запроса на использованиерезервных помещений

Обеспечение чрезвычайного финансирования для покрытиядополнительных расходов

Создание Центра управления в основномпроизводственном помещении или вблизи него икоординация действий по восстановлению

Начало ведения Регистрационных журналов длявосстановления после бедствий

Регулярное информирование высшего руководства обизменении состояния процесса восстановления

Анализ политики организации, бюджета отдела ирекомендаций по ограничению затрат с другими группами

Регулярное информирование пользователей об изменениисостояния процесса восстановления

Составление отчета об убытках

Сбор Журналов регистрации для восстановления послебедствия от всех групп. Составление ежедневных отчетов осостоянии процесса восстановления

Принятие мер для получения дополнительнойпрофессиональной помощи

Координация бесед с кандидатами на прием на работу,чтобы обеспечить заполнение всех вакансий

Ведение графиков состояния процесса восстановления

11



Контрольный перечень для восстановления после бедствияГРУППА: Эксплуатации вычислительных систем Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________



Оценка ущерба и определение оборудования, необходимого длязамены

Получение необходимого компьютерного оборудования иоборудования для обработки данных от поставщиков, указанных всписке Поставщиков для чрезвычайной ситуации

Уведомление руководства, выездных специалистов, поставщика сцелью анализа плана ремонта оборудования и установкипоставленных устройств

Встреча с членами Группы эксплуатации вычислительных систем ипланирование обязанностей по подготовке резервных помещений дляустановки дополнительного оборудования

Анализ «холодного» резервного помещения и проверка наличиятребуемого электрического питания, громкоговорящей связи,телефонных линий и кондиционеров. Работа с обслуживающимперсоналом.

Получение необходимых носителей с резервными копиями длявосстановления и документации, которые будут использоваться врезервном помещении

Оценка состояния обработки данных и определение сроков восста4новления всей системы и (или) отдельных элементов. Разработкаплана возобновления выполнения работ в соответствии с графиком

Создание Центра управления в основном производственномпомещении или вблизи него и координация действий повосстановлениюСоставление планов возобновления функционирования высоко4приоритетных систем и информирование о них всех пользователейАнализ списка требуемых поставок материаловОрганизация перевозки и (или) приобретения запасных частей длязаменыУведомление поставщиков о бедствии и информирование их обадресе резервного помещенияНачало приведения в порядок и восстановления основногопроизводственного помещения после того, как резервное помещениебудет готовоПроверка выполнения требований к кабелям и соединителям и другихтребований, необходимых для возобновления работы в основномпроизводственном помещении Составление графика тестирования совместно с обслуживающимперсоналомОпределение ущерба персональным компьютерам, офисномуоборудованию, устройствам ввода данных и другому оборудованию исоставление графика их замены

12



Контрольный перечень для восстановления после бедствияГРУППА: Ввода�вывода и контроля данных Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________


Контрольный перечень для восстановления после бедствияГРУППА: Специальных проектов Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________



Организация перевозок в резервные помещения и из них,организация челночных перевозок по расписанию

Организация перевозок материалов, запасов и оборудования

Обучение служащих, которым, возможно, придется выполнять работывне сферы их обязанностей

Административные услуги: выполнение функций информационногоцентра с целью ускорения платежей, облегчения работы всехруководителей групп

Организация доставки внутренней почты между производственнымипомещениями, расположенными в разных местах

Доставка необходимой мебели в резервное помещение

Доставка необходимого офисного оборудования в резервноепомещение

Установка телефонов в резервном помещении



Определение состояния данных, с которого должно быть начатовосстановление

Сопоставление данных пользователей и последних файлов резервныхкопий, которые Группа эксплуатации вычислительных системпланирует использовать для восстановления данных

Получение оригиналов документов для повторного ввода, чтобыпривести файлы в соответствие с текущим состоянием данных

Определение сроков готовности оборудования для ввода данных

Организация временных помещений для работы

Уведомление пользователей о бедствии и информирование их одеталях плана возобновления функционирования и способахобработки входных данных

Получение резервных копий документов и пересмотр календарныхпланов совместно с пользователями и Группой эксплуатациивычислительных систем

13



Контрольный перечень для восстановления после бедствияГРУППА: Технической поддержки Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________


Контрольный перечень для восстановления после бедствияГРУППА: Базы данных Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________


Контрольный перечень для восстановления после бедствияГРУППА: Систем и программного обеспечения Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________



Обеспечение наличия операционных систем, а также программногообеспечения других управляющих систем

Последовательное восстановление системы с резервных копий всоответствии с приоритетами и проверка сохранениясогласованности результатов обработки данных

Работа с техническим персоналом поставщика (при необходимости)

Определение ущерба, нанесенного сети связи, и требований к еевосстановлению

Работа с телефонной компанией с целью полного восстановленияуслуг и подача необходимых заказов для заменытелекоммуникационного оборудования

Уведомление пользователей о нарушении предоставления услуг



Восстановление базы данных с резервных копий в соответствии сдокументацией для восстановления

Восстановление промежуточных данных, чтобы можно было обновитьфайлы, приведя их в состояние, соответствующее текущейинформации

Выполнение тестов и сверка их результатов с распечаткамипользователей

Обеспечение непрерывности работы с пользователями



Координация действий с группами эксплуатации вычислительныхсистем и контроля ввода4вывода данных, чтобы правильно установитьмомент восстановления работы. Проверка прикладных систем ибиблиотек Восстановление файлов и обеспечение непрерывности данных путемпроведения тестов и сравнения результатов с распечаткамипользователейОбеспечение работы критически важных прикладных системЗадание полного графика обработки данных

14



Контрольный перечень для восстановления после бедствияГРУППА: Отдела страхования Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________


Контрольный перечень для восстановления после бедствияГРУППА: Отдела внутреннего аудита Дата: ____._____.______Руководитель группы:_______________________Заместитель:_____________________________

ВОССТАНОВЛЕНИЕ ПРОИЗВОДСТВЕННЫХ ПОМЕЩЕНИЙ И ФУНКЦИОНИРОВАНИЯВ ПЕРВОНАЧАЛЬНОМ И (ИЛИ) РЕЗЕРВНОМ ПРОИЗВОДСТВЕННОМ ПОМЕЩЕНИИ

Когда в качестве вычислительного центра на период восстановления деятельности используется резервноепомещение, необходимо вовремя сфокусироваться на восстановлении основного вычислительногоцентра. Обычно полное восстановление – двухэтапный процесс. Первый этап заключается в заказе изапуске замещающих аппаратных средств, которые, в конечном счете, будут использоваться какстационарные средства. После того, как постоянное помещение будет готово к использованию,аппаратные средства будут перемещены в постоянное помещение.



Обследование места бедствия и определение степени ущерба

Фотографирование места бедствия, если это возможно

Подготовка подробного отчета об ущербе и расположенииоборудования

Обращение в страховые компании и работа с диспашерами

Подготовка требований к страховой компании о возмещении ущерба

Уведомление других групп об условиях замены оборудованиясогласно имеющемуся страховому полису и о скидке для арендынеобходимого оборудования



Проверка правильности процесса восстановления данных, с цельюобеспечения их целостности и сохранения согласованностирезультатов обработки данных

Анализ финансовой информации, чтобы убедиться в окончаниипроцесса восстановления

Контроль восстановления файлов, средств контроля данных и средствобеспечения безопасности в течение процесса восстановления

15


ГРУППЫ ВОССТАНОВЛЕНИЯ

ПОСЛЕ БЕДСТВИЙ

ОРГАНИЗАЦИОННАЯ СТРУКТУРА ОИТ

За исключением групп Отдела страхования и Отде�ла внутреннего аудита все члены групп являютсясотрудниками Отдела информационных техноло�гий. Очень важно определить круг их обязанностейи полномочий. Структура подчинения определяет�ся схемой организационной структуры.

Разместите здесь организационную структуру ва�шего Отдела Информационных технологий

СОСТАВ, ФУНКЦИИ И ОБЯЗАННОСТИГРУПП

Координатор планирования на случай бедствий

Ф.И.О.___________________________назначен Координатором планирования на случайбедствий. Он координирует выполнение работ,предусмотренных настоящим Планом.

При составлении Плана Координатор отве�чает за накопление всей информации, котораядолжна быть включена в план. Большая часть дан�ных уже имеется в организации, но не всегда вудобной для использования форме. По мере назна�чения сотрудников их обязанности, имена, адресаи номера телефонов должны быть введены в раз�личные части Плана. По мере изменения адресов ителефонов вносятся исправления в эталонный эк�земпляр Плана. Каждое полугодие или год осуще�ствляется рассылка обновлений.

После составления первоначального вариан�та Плана делаются его копии, которые рассылают�ся руководителям групп и их заместителям. Копиитакже должны иметься во всех офисах, указанныхв этом документе. Копии должны храниться со�трудниками дома, а не в ящиках столов в офисе, по�скольку в случае крупномасштабного бедствияофисы могут быть разрушены.

План должен быть полностью испытан. Этоне только подтвердит выполнимость всех проце�дур, но и обеспечит обучение различных групп. Ко�ординатор планирует испытания и документируетих успех или неудачу. Он готовит отчеты для руко�водства и Отдела внутреннего аудита. В случае не�удачных испытаний, он взаимодействует с руково�дителями групп, чтобы разрешить проблемы и со�ставить план повторных испытаний.

Координатор планирования на случай бедст�вий представляет свою организацию на семинарахи совещаниях, касающихся восстановления послебедствий. Он должен обладать новейшей информа�цией и сведениями о процедурах и информирует оних всю организацию. При обновлении аппарат�ных средств, программного обеспечения и теле�коммуникационного оборудования Координаторсвязывается с сотрудником, ответственным за «го�рячее» резервное помещение, чтобы убедиться впригодности резервного центра для функциониро�вания всех критически важных систем.


Руководитель группы систем и программногообеспечения:Ф.И.О.____________________________Заместитель: Ф.И.О.____________________________

Обязанности:• Координация первоначального реагирования

на бедствие, защита жизни сотрудников и иму�щества.

• Оценка ущерба.• Определение полноты выполнения Плана ОИТ

(полномасштабно, либо частично).• Уведомление высшего руководства.• Уведомление руководителей групп и начало

выполнения Плана ОИТ.

Члены группы:• Руководитель Группы эксплуатации вычисли�

тельных систем:Ф.И.О._________________________

• Администратор баз данных Ф.И.О._________________________

• Руководитель Группы технической поддержкиФ.И.О._________________________

• Руководитель Группы специальных проектовФ.И.О._________________________

• Координатор планирования на случайбедствийФ.И.О._________________________

Функции по восстановлению после бедствия:• Создание Центра управления в соответствии с

положениями Плана ОИТ для обеспеченияцентрализованного управления всеми дейст�виями.

• Информирование всех групп о номере телефо�на с указанием, что его следует использоватьтолько для передачи и получения необходимойинформации.

16


• Подача официального запроса на использова�ние резервных помещений.

• Начало ведения Журналов регистрации длявосстановления после бедствий, в которых ре�гистрируются все действия.

• Регулярное информирование высшего руко�водства об изменении состояния процесса вос�становления.

• Регулярное информирование пользователейоб изменении состояния процесса восстанов�ления.

• Принятие мер для получения профессиональ�ной дополнительной помощи.

• Координация бесед с кандидатами на прием наработу, чтобы обеспечить заполнение всехвакансий.

Группа эксплуатации вычислительныхсистем

Руководитель Группы эксплуатации вычисли�тельных систем:

Ф.И.О._________________________Заместитель:

Ф.И.О._________________________

Обязанности:• Восстановление файлов, запуск систем в «го�

рячем» резервном помещении.• Составление графика выполнения работ в «го�

рячем» резервном помещении.• Координация работ, необходимых для восста�

новления функционирования систем в преж�нем или новом постоянном помещении.

• Заказ и установка вычислительного оборудо�вания, необходимого для нормальной работы впостоянном помещении.

Члены группы:• Руководитель Службы эксплуатации

Ф.И.О._________________________• Операторы компьютеров – согласно назначе�

ниям.• Ответственный за библиотеку резервных ко�

пий.

Функции по восстановлению после бедст@вия:

Эксплуатация компьютеров:• Управление работой вычислительных систем

или оказание помощи оператору в «горячем»резервном помещении.

• Получение носителей с резервными копиямии восстановление файлов в «горячем» резерв�ном помещении.

• Определение момента возобновления работыкритически важных систем.

• Тестирование критически важных систем длярешения производственных задач.

• Составление графика обработки данных в «го�рячем» резервном помещении.

• Уведомление пользователей о графике обра�ботки данных в «горячем» резервном помеще�нии.

• Организация перевозки запасных частей длязамены в «горячее» резервное помещение.

• Организация перевозки носителей с резерв�ными копиями из внешнего хранилища в «го�рячее» резервное помещение.

Подготовка помещения: • Координация работ по ремонту или строитель�

ству нового постоянного помещения в перво�начальном или новом месте.

Замена оборудования: • Определение ремонтопригодности имеющих�

ся аппаратных средств. При необходимости за�мены надо обратиться к поставщику для полу�чения информации о предлагаемых сроках по�ставки. Если сроки поставки неудовлетвори�тельны, получить предложения от поставщи�ков бывших в употреблении техническихсредств.

• Проверка выполнения требований к кабелям исоединителям, необходимых для возобновле�ния работы.

• Организация поставок другого оборудованиядля обработки данных.

• Составление графика тестирования совместносо специалистами по техническому обслужи�ванию.

Подготовка «холодного» резервного помеще�ния:

• Предварительное обследование «холодного»резервного помещения, необходимо убедитьсяв том, что оно обеспечит временное функцио�нирование размещенного в нем оборудования;

• Подводка необходимого электрического пита�ния, кабелей и соединителей.

• Обеспечение выполнения требований к систе�ме связи.

• Организация охраны и ограниченного доступав помещение, в котором находятся компьюте�ры.

17


• Организация хранения вне основного помеще�ния.

Оборудование, обеспечивающее функциони�рование компьютеров:Определение потребности и заказ обеспечивающе�го оборудования:

• ПК.• Офисное оборудование для ввода данных;.• Оборудование для обработки бумажных доку�

ментов.

Материалы:• Анализ списка потребностей.• Обращение к поставщикам, указанным в спис�

ке поставщиков на случай чрезвычайной ситу�ации.

• Организация перевозки имеющихся материа�лов или закупка материалов для замены.

• Уведомление поставщиков о бедствии и ин�формирование их об адресе резервного поме�щения.

Группа ввода@вывода и контроля данных

Руководитель Группы ввода и контроля данных:Ф.И.О.____________________________Заместитель:Ф.И.О.____________________________

Обязанности:• Возобновление работы Группы ввода�вывода и

контроля данных в резервном помещении илив дополнительном месте.

Члены группы:• Руководитель Группы ввода�вывода данных

Ф.И.О._________________________• Руководитель Группы контроля данных

Ф.И.О._________________________• Персонал, ответственный за ввод�вывод дан�

ных – согласно назначениям.• Персонал, ответственный за контроль данных

– согласно назначениям.

Ввод�вывод данных:• Определение совместно с Группой эксплуата�

ции вычислительных систем точки, с которойдолжно быть начато восстановление данных.Сопоставление последних файлов резервныхкопий, которые Группа эксплуатации вычис�лительных систем планирует использовать длявосстановления данных, с данными пользова�теля. Получение оригиналов документов, необ�ходимых для повторного ввода данных, чтобы

привести файлы в соответствие с текущим со�стоянием данных;

• Определение сроков готовности оборудова�ния для ввода данных. При необходимости ор�ганизация ввода данных внешними исполни�телями.

Контроль данных:• Уведомление пользователей о бедствии и ин�

формирование их о временных процедурахввода�вывода данных.

• Обеспечение временных производственныхпомещений либо в резервном помещении, ли�бо вблизи основного производственного поме�щения.

• Получение резервных копий документов и пе�ресмотр календарных планов совместно спользователями и Группой эксплуатации вы�числительных систем.


Руководитель Группы специальных проектов: Ф.И.О.____________________________Заместитель:Ф.И.О.____________________________

Обязанности:• Организация перевозок людей, материалов и

оборудования;• Административное обеспечение работ по вос�

становлению.

Члены группы:• Персонал, ответственный за специальные про�

екты.

Функции по восстановлению после бедствия:• Организация перевозок в резервные помеще�

ния и из них, организация челночных перево�зок по расписанию.

• Организация перевозок людей, запасов мате�риалов и оборудования.

Обучение:• Обучение служащих, которым, возможно,

придется выполнять работы вне сферы их обя�занностей.

Административные услуги:• Организация доставки внутренней почты меж�

ду производственными помещениями, распо�ложенными в разных местах.

• Обеспечение предоставления всех необходи�мых административных услуг, например, опла�та счетов, расчет заработной платы, обработка

18


требований о выплате пособий по страхова�нию служащих, выписка критически важныхсчетов.

• Организация размещения персонала, работа�ющего в резервном помещении.

• Обеспечение дополнительных офисных поме�щений мебелью, телефонами и другим офис�ным оборудованием.


Руководитель Группы технической поддержки:Ф.И.О.____________________________Заместитель:Ф.И.О.____________________________

Обязанности:• Инсталляция в резервном помещении про�

граммного обеспечения и средств связи,необходимых для возобновления основнойдеятельности организации.

Члены группы:• Системные программисты.

Функции по восстановлению после бедствияСистемное программное обеспечение

• Установка операционных систем, а также про�граммного обеспечения других управляющихсистем.

• Последовательное восстановление системы срезервных копий в соответствии с приоритета�ми и проверка консистентности данных.

• Работа в резервном помещении и с техничес�ким персоналом поставщика (по мере необхо�димости).

Сеть связи:• Определение ущерба, нанесенного сети связи,

и установка оборудования для замены.• Работа с телефонной компанией с целью пол�

ного восстановления услуг и, при необходимо�сти, замена телекоммуникационного оборудо�вания.

• Уведомление пользователей о нарушении пре�доставляемых услуг.


Руководитель группы�администратор базыданных :Ф.И.О.____________________________Заместитель:Ф.И.О.____________________________

Обязанности:• Полное восстановление базы данных и про�

верка актуальности данных.

Члены группы:• Персонал, ответственный за администрирова�

ние базы данных.

Функции по восстановлению после бедствия Восстановление базы данных и обеспечение ее це�лостности:

• Управление восстановлением базы данных срезервных копий;

• Восстановление промежуточных данных, что�бы можно было обновить файлы, приведя их всостояние, соответствующее текущей инфор�мации;

• Прогон тестов и сверка их результатов с распе�чатками пользователей;

• Работа с пользователями для обеспечения точ�ности обработки данных в будущем.


Руководитель Группы систем и программногообеспечения:Ф.И.О.____________________________Заместитель:Ф.И.О.____________________________

Обязанности:• Обеспечение восстановления производствен�

ных систем и проверка непрерывности выпол�няемой обработки данных.

Члены группы:• Персонал, ответственный за системы и про�

граммное обеспечение.

Функции по восстановлению после бедствияВосстановление прикладных систем и возобновле�ние их работы:

• Координация действий с Группами эксплуата�ции вычислительных систем и контроля ввода�вывода данных, чтобы правильно установитьточку, с которой должно быть начато восста�новление.

• Проверка прикладных систем и библиотек.• Управление восстановлением файлов и про�

верка результатов путем тестирования и срав�нения результатов с распечатками пользовате�лей.

Прикладные программы:• Контроль за работой критически важных при�

кладных систем в резервном помещении иливнешних вычислительных центрах.

19



Руководитель Группы отдела страхования:Ф.И.О.____________________________Заместитель:Ф.И.О.____________________________

Обязанности:• Анализ ущерба и направление в страховую

компанию запроса на проведение оценки;• Предоставление высшему руководству по�

дробного отчета об ущербе.• Обработка всех заявлений об ущербе.

Члены группы:• Согласно назначениям.

Функции по выживанию после бедствия Страхование и компенсация за спасение иму�щества:

• Обращение в страховые компании и работа сдиспашерами.

• Анализ ущерба и определение ремонтопригод�ности технических средств.

• Подготовка подробного отчета об ущербе ирасположении оборудования.

• Подготовка требований к страховой компаниио возмещении ущерба.

• Уведомление других групп об условиях заменыоборудования согласно имеющемуся страхо�вому полису и о скидке для аренды необходи�мого оборудования.


Руководитель Группы внутреннего аудита:Ф.И.О.____________________________Заместитель:Ф.И.О.____________________________

Обязанности:• Проверка правильности процесса восстанов�

ления данных и последующей их обработки.

Члены группы:• Согласно назначениям.

Функции по восстановлению после бедствия Проверка полноты процесса восстановления:

• Проверка правильности процесса восстанов�ления данных, с целью обеспечения их целост�ности и непрерывности обработки.

• Анализ финансовой информации, чтобы убе�диться в окончании процесса восстановления.

• Обеспечение контроля и безопасности во вре�мя восстановления.

• Контроль восстановления файлов, средствконтроля данных и средств обеспечения безо�пасности в течение процесса восстановления.

ЗАБЛАГОВРЕМЕННОЕ ПЛАНИРОВАНИЕИ ТЕКУЩИЕ ФУНКЦИОНАЛЬНЫЕОБЯЗАННОСТИ ГРУПП

Координатор планирования на случай бед@ствий:

1) Обновляет документацию Плана, исправляяимена, адреса и номера телефонов.

2) Обеспечивает должную рассылку Плана чле�нам групп.

3) Разрабатывает график проведения испытанийвсех этапов Плана.

4) Сотрудничает с Отделом внутреннего аудита,чтобы проверять правильность процедур.

5) Распространяет литературу по безопасности ивосстановлению после бедствия.

6) Периодически проверяет резервные помеще�ния.

7) Официально обновляет План каждые шестьмесяцев на основе информации, поступающейот групп.


1) Руководитель группы планирует ежекварталь�ные встречи, обсуждает текущее состояние.

Группа эксплуатации вычислительных систем

1) Обеспечивает обновление поэтажных плановосновного и резервного помещений.

2) Обеспечивает обновление схем организацион�ной структуры.

3) Хранит копию всех конфигураций аппарат�ных средств компании.

4) Обеспечивает обновление списков поставщи�ков аппаратных средств, программного обес�печения, средств связи, материалов и бланков.

5) Обеспечивает обновление процедур на случайчрезвычайных ситуаций (пожар, затопление идругие потенциальные опасности).

6) Обеспечивает обновление резервных копий,хранящихся вне основного производственногопомещения.

7) Обеспечивает обновление резервных копийкритически важных отчетов.

8) Обеспечивает хранение данных Журнала ре�гистрации вне основного производственногопомещения.

9) Обеспечивает возможность практического ис�пользования Планов действий в непредвиден�ных обстоятельствах.

20


Группа ввода@вывода и контроля данных

1) Непрерывно обновляет список используемыхсистем и документов.

2) Хранит копию инструкций по вводу данныхвне основного производственного помещения.

3) Заключает соглашения на случай непредви�денных обстоятельств с местными пользовате�лями и (или) поставщиками, предусматриваю�щие возможность использования оборудова�ния другой стороны в случае чрезвычайной си�туации.


1) Обновляет список транспортных компаний, ккоторым нужно будет обращаться в случаечрезвычайной ситуации.

2) Устанавливает планы действий в непредвиден�ных обстоятельствах, касающиеся использова�ния резервов в чрезвычайных ситуациях.


1) Обеспечивает хранение резервных копий опе�рационных систем и телекоммуникационногопрограммного обеспечения вне основного про�изводственного помещения.

2) Обеспечивает обновление списка файлов имест их размещения.

3) Обеспечивает обновление информации о сетисвязи.

4) Обеспечивает возможности восстановления сиспользованием резервных копий, хранящих�ся вне основного производственного помеще�ния.


1) Обеспечивает полноту мер по хранению ре�зервной копии базы данных вне основногопроизводственного помещения.


1) Анализирует все системы с целью принятиядолжных мер для хранения резервных копийпрограмм, файлов и документов вне основногопроизводственного помещения.

2) Проверяет правильность хранения в соответ�ствии с принятой в компании политикой.

3) Составляет списки всех систем, пользовате�лей, приоритетов обработки данных и ответст�венных лиц.

4) Выявляет критически важные системы и под�готавливает детальные планы восстановления.


1) Анализирует охват страхованием и проверяетдостаточность Плана.

2) Проверяет отвечает ли страхование требова�ниям Чрезвычайного Плана и учитывают листраховые премии затраты на создание резер�вов.


Анализирует Чрезвычайный План с целью форми�рования представления о его адекватности постав�ленным задачам, проверяет наличие контрольныхточек и полноту плана.

ПОСТАВЩИКИ

В настоящем разделе должны быть перечислены невсе поставщики, с которыми организация активносотрудничает в обычной ситуации, а только те кон�кретные поставщики, к которым необходимо обра�щаться для ремонта или замены оборудования, либодля получения материалов, критически важных длявосстановления работы информационных систем.

Информация о поставщиках должна содер�жать имена и адреса торговых представителей итехнических специалистов, а также списки всехместных и центральных номеров телефонов длячрезвычайного вызова (форма Г).

Кроме того, укажите для каждого из постав�щиков степень готовности к реагированию (времяреагирования на чрезвычайные ситуации).

ПОСТАВЩИКИ НОВОГО И БЫВШЕГО ВУПОТРЕБЛЕНИИ ОБОРУДОВАНИЯ

Для восстановления функционирования после бед�ствия важно иметь полный список всего оборудо�вания и его спецификации. В этом разделе планадолжен быть приведен список поставщиков новогои бывшего в употреблении (б/у) оборудования скраткими характеристиками каждого из поставщи�ков (список оборудования, которое является основ�ным для этого поставщика, с учетом списка уста�новленного в организации оборудования).

ПОСТАВЩИКИ ПРОГРАММНОГО ОБЕС@ПЕЧЕНИЯ

Необходимо иметь полный список всего специаль�ного программного обеспечения (как операцион�ных систем, так и прикладных систем). В планедолжны быть предусмотрены специальные мерыпо созданию резервных копий этих пакетов.

21


ПОСТАВЩИКИ СРЕДСТВ СВЯЗИ

Выполнение заказов на средства связи обычно тре�бует длительного времени, которое, даже в чрезвы�чайной ситуации, может быть сокращено лишь не�значительно. При составлении списка поставщиковследует учитывать время выполнения поставщика�ми заказов. Если время выполнения заказа превы�шает требуемое время восстановления функциони�рования, необходимо предусмотреть закупку менеебыстродействующего или более дорогого оборудо�вания, которое может быть поставлено в нужныесроки. Например, можно использовать коммутиру�емые линии вместо арендованных каналов и т.п.

ПОСТАВЩИКИ СПЕЦИАЛЬНОГО ОБО@РУДОВАНИЯ

В основном вычислительное оборудование выпол�нено в виде унифицированных модулей. Время вы�полнения заказов такого оборудования относи�тельно невелико. Однако при наличии старого, уни�кального оборудования либо аппаратно�зависимо�го прикладного программного обеспечения в планедолжны быть приведены специальные стратегии наэтот случай. Если обновление или изменение кон�фигурации уже запланированы, было бы разумноускорить их осуществление.

ПОСТАВЩИКИ ВСПОМОГАТЕЛЬНОГООФИСНОГО ОБОРУДОВАНИЯ

Необходимо перечислить вспомогательное офисноеоборудование с указанием альтернатив и возможно�стей получения услуг от внешних организаций.

ПОСТАВЩИКИ СПЕЦИАЛЬНЫХ БЛАНКОВ

В плане должен быть указан полный список постав�щиков специальных бланков. Для того, чтобы опи�сать требования к поставщику, полезно иметь об�разцы бланков и спецификаций. Время выполне�ния заказа на бланки часто может быть длитель�ным, особенно если необходимо выполнить весьцикл от эскиза до конечного продукта. Полезноиметь несколько поставщиков одного и того жебланка, поскольку один сильно загруженный по�ставщик не всегда может достаточно быстро отреа�гировать на ваши потребности в случае чрезвычай�ной ситуации. Чтобы ускорить весь процесс, мож�но обеспечить поставщиков оригинал�макетамибланков.

Форма Г Обновлена __________

Наименование поставщика _______________ Адрес локального офиса _________________Номер телефона ______________________ Контакты:A.Торговый представитель:_______________Б. Технические представители:_____________

1. Аппаратные средства______________2. Программное обеспечение __________

В. Номер телефона для чрезвычайной ситуации_________________________________Время реагирования поставщика__________Оборудование________________________Альтернативное резервное помещение________

УПОРЯДОЧЕНИЕ ВСЕХ

ПРИКЛАДНЫХ СИСТЕМ ПО

ПРИОРИТЕТАМ

РАНЖИРОВАНИЕ ВСЕХ СИСТЕМ ПОПРИОРИТЕТАМ

Основной задачей Отдела Информационных тех�нологий должно быть обеспечение быстрого и га�рантированного восстановления функционирова�ния критически важных прикладных систем в слу�чае серьезного прекращения или нарушения нор�мальной работы из�за пожара, стихийного бедст�вия, сбоев питания или других чрезвычайныхобстоятельств. Выявление критически важных сис�тем проводится для того, чтобы разработать планвосстановления функционирования информаци�онной системы предприятия после бедствия. Планвключает действия, которые должны выполнятьсякак до, так и после бедствия с целью обеспеченияполного восстановления работы вычислительныхсистем. Планирование должно быть достаточно де�тальным, чтобы главные решения были уже приня�ты до момента возникновения чрезвычайной ситу�ации. В этом случае при возникновении бедствияне придется в экстремальной ситуации решать, кто,что и как должен делать.

Полномасштабное функционирование Отде�ла Информационных технологий в резервном по�мещении сразу после бедствия как по техничес�ким, так и по финансовым причинам вряд ли будетвозможно. Как правило, это не имеет существенно�го значения, так как степень влияния выполняемых

22


задач на основной бизнес различна. Следует про�анализировать относительную важность выполняе�мых функций. Ниже приведены процедуры для за�дания приоритетов функций.

Следует принять во внимание, что в течениеначального периода восстановления после бедст�вия функции вычислительных систем будут выпол�няться в уменьшенном объеме. При составленииплана необходимо определить, каким критическиважным прикладным системам нужно срочно уде�лить внимание после начала процесса восстановле�ния.

Методика выявления критически важныхдля организации прикладных систем используетсемь факторов, которые позволяют определитьвозможность ухудшения работы прикладной сис�темы в случае бедствия, а также ограничения, кото�рые могут возникнуть при восстановлении работыприкладной системы.

Этими факторами являются:1. Допустимое время восстановления приклад�

ной системы после бедствия.2. Потребность в использовании уникальных ре�

сурсов для восстановления работы прикладнойсистемы.

3. Возможность переноса прикладной системыпри ее восстановлении.

4. Опыт обслуживающего персонала Отдела Ин�формационных технологий по успешномупроведению испытаний процесса восстановле�ния.

5. Предельно допустимые потери из�за задержкиили невозможности восстановления приклад�ной системы.

6. Наличие недостатков в структуре или функци�онировании прикладной системы.

7. Аспекты защиты информации, касающиесяструктуры или функционирования системы.

Все эти факторы в совокупности определяютотносительную важность восстановления конкрет�ных прикладных систем после бедствия. Конкрет�ные баллы устанавливаются следующим образом:

Оценки: Допустимое время восстановления5 – Требуется обеспечить средний уровень

функционирования в течение 4�6 часов по�сле бедствия.

4 – Требуется обеспечить средний уровеньфункционирования в течение от 7 до 12 ча�сов после бедствия.

3 – Требуется обеспечить средний уровеньфункционирования в течение от 13 до 24часов после бедствия.

2 – Требуется обеспечить средний уровеньфункционирования в течение от 25 до 48часов после бедствия.

0 – Требования к времени восстановления от�сутствуют.

Оценки: Потребность в использовании уни�кальных ресурсов

5 – Для адекватного восстановления функцио�нирования системы требуется полностьювосстановить уникальную базу данных и(или) заказное программное или аппарат�ное обеспечение и (или) средства связи понекоммутируемым каналам.

4 – Система может адекватно функциониро�вать с использованием коммутируемых ка�налов при условии наличия всех другихуникальных ресурсов.

3 – Адекватное рабочее состояние системыможет быть восстановлено лишь при час�тичном восстановлении ключевых ресур�сов, то есть с использованием текущей / ре�зервной версии базы данных.

2 – Для восстановления не требуется никакихуникальных ресурсов.

0 – Система может функционировать в тече�ние периода восстановления после бедст�вия с отключением некоторых функций /подсистем.

Оценки: Переносимость системы5 – Прикладная система не может быть успеш�

но восстановлена в помещении, отличномот основного производственного помеще�ния.

3 – Прикладная система может быть успешноперенесена, но с существенной задержкой.

0 – Не ожидается никаких трудностей при пе�ремещении прикладной системы.

Оценки: Опыт восстановления5 – Обслуживающий персонал Отдела Инфор�

мационных технологий не имеет успешно�го опыта проведения испытаний восстанов�ления прикладной системы.

3 – При проведении испытаний прикладнаясистема была успешно восстановлена по�сле значительной задержки.

0 – При успешном проведении испытаний вос�становления прикладной системы не воз�никло никаких задержек или других про�блем.

23


Оценки: Допустимые потери5 – Невозможность восстановить систему с вы�

полнением требований к срокам и выполня�емым функциям может привести к денеж�ным потерям, размер которых превышаетустановленный руководством предел.

4 – Невозможность восстановить систему свыполнением требований к срокам и функ�циям создаст проблемы в отношениях сглавными заказчиками / поставщиками /профсоюзными объединениями / регули�рующими органами, недопустимые с точкизрения руководства и работы.

2 – Система должна быть восстановлена ус�пешно. Потери, связанные с неполным илизадержанным восстановлением, являютсядопустимыми.

0 – Не ожидается никаких потерь, связанных снеполным или задержанным восстановле�нием.

Оценки: Эксплуатационные недостатки5 – Для успешного восстановления и нормаль�

ной работы требуется непосредственноеучастие ключевых специалистов и обслу�живающего персонала.

4 – Отсутствует обновленная документацияприкладной системы и (или) планируетсязамена прикладной системы.

3 – Прикладная система продемонстрировалачувствительность к изменениям объема,состава и (или) качества вводимых данныхи (или) интенсивность отказов была значи�тельной.

0 – Никаких известных недостатков не выяв�лено.

Оценки: Защита информации5 – Прикладная система содержит конфиден�

циальные данные. 4 – Прикладная система управляет распреде�

лением денежных средств или иным обра�зом влияет на сохранность собственности.

0 – Не требуется никаких особых мер по защи�те информации в процессе восстановления,за исключением обычной осторожности.

Использование этой методики оценки позво�ляет ранжировать прикладные системы по их отно�сительной важности. Максимальный балл 35, соот�ветствует наиболее критически важным системам.Ранжирование послужит основой для соответству�ющего распределения ограниченных ресурсов втечение периода восстановления.

ЗАЩИТА НОСИТЕЛЕЙ

ИНФОРМАЦИИ

ЗАЩИТА И СОХРАНЕНИЕ ЖИЗНЕННОВАЖНЫХ ДОКУМЕНТОВ

Защита и сохранение жизненно важных докумен�тов является частью повседневной работы. Крометого, компания также несет юридическую обязан�ность хранить ряд документов определенное коли�чество лет.

Важные документы должны храниться в не�скольких экземплярах, необходимо ввести в дейст�вие процедуры, обеспечивающие хранение одногоиз экземпляров в удаленном безопасном месте.

В целях гарантированного сохранения ин�формации, имеющейся в компьютерах, ее копиру�ют на носители, которые помещают в хранилищевне основного производственного помещения.

Независимо от метода, используемого для со�хранения документов вне основного производст�венного помещения, необходимо иметь письмен�ную процедуру, график вывоза и доставки и ответ�ственного за выполнение процедуры.

ЗАЩИТА БАЗЫ ДАННЫХ

Резервные копии базы данных

Полные резервные копии создаются в то время,когда база данных не открыта. Если возможно, ско�пируйте базу данных на два отдельных носителя инаправьте один из них в удаленное хранилище.Другой носитель хранится в основном производст�венном помещении до создания следующей полнойкопии.

Обновления

Создаются Журналы регистрации, в которых фик�сируются образы всех измененных записей до ипосле изменения. Эти журналы хранятся в течениесеми дней.

Описание базы данных

Если описание базы данных остается практическинеизменным, его резервная копия должна созда�ваться только после его изменения. Если описаниеизменяется часто, его копии могут создаватьсяеженедельно наряду с копированием данных изме�нений. Эти копии должны храниться в удаленномхранилище.

24


Исходные тексты программного обеспечения

Резервные копии файлов исходных текстов про�граммного обеспечения создаются еженедельно.

СТАНДАРТНЫЕ ПРОЦЕДУРЫ СОЗДА@НИЯ РЕЗЕРВНЫХ КОПИЙ

Большинство вычислительных центров создают ре�зервные копии своих файлов и направляют их вудаленное хранилище. Если копия является простоновой версией файла, необходимой для дальней�шей обработки данных, следует создать вторую ко�пию, чтобы ее можно было поместить в удаленноехранилище. Копии, направляемые в удаленное хра�нилище, должны представлять текущее состояниефайлов после обработки данных. Периодичностьобработки данных может быть одной из следую�щих:

• Ежедневная обработка данных;• Еженедельная обработка данных;• Ежемесячная обработка данных;• Ежегодная обработка данных;• Циклы прикладных систем;• Создание резервных копий дисков.

ХРАНЕНИЕ ВНЕ ПРОИЗВОДСТВЕННОГОПОМЕЩЕНИЯ

Удаленное хранение является одним из способовзащиты носителей, гарантирующих восстановле�ние файлов после бедствия. Вместе с резервнымикопиями в удаленном хранилище должен хранить�ся и их реестр. Вторая группа копий должна оста�ваться в основном производственном помещении.В реестре указываются: сотрудник, ответственныйза ведение библиотеки, наименование и описаниефайлов, время и дата создания файлов.

ДОКУМЕНТАЦИЯ ДЛЯ СИСТЕМ ИПРОГРАММ

Системная документация должна храниться в элек�тронном виде. Если документация существует толь�ко в виде оригиналов, нужно сделать копии и поме�стить их в удаленное хранилище. В качестве про�граммной документации часто используются ис�ходные тексты программ. Резервные копии исход�ных текстов программ должны создаватьсяеженедельно, в интервалах создаются копии всехвносимых изменений.

РЕЗЕРВНЫЕ КОПИИ ДОКУМЕНТАЦИИДЛЯ ВВОДА ДАННЫХ

Если форматы ввода данных изменяются редко, ко�пия файла форматов ввода данных должна созда�ваться при каждом изменении формата. Резервнаякопия должна храниться как в основном производ�ственном помещении, так и в удаленном хранили�ще. При частых изменениях предпочтительно еже�недельное создание резервных копий. При этом домомента создания полной резервной копии регист�рируются все изменения. Все изменения сохраня�ются, пока не создан файл с полной резервной ко�пией. Форматы могут быть внутренние, разрабо�танные для ввода данных с помощью имеющегосяспециализированного оборудования. Кроме того,должны существовать форматы, которыми смогутвоспользоваться внешние организации при необ�ходимости восстановления данных. Остальная до�кументация, касающаяся ввода данных, копирует�ся в виде файла и помещается в удаленное хранили�ще. Эта документация может содержать такие све�дения: представители для контактов среди пользо�вателей, графики, объемы и т.д.

СОЗДАНИЕ РЕЗЕРВНЫХ КОПИЙ ФАЙ@ЛОВ ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРОВ

Пользователи, работающие на персональных ком�пьютерах, сами отвечают за защиту файлов. Следу�ет помнить, что хранение единственной копии кон�фиденциальной информации на рабочем месте негарантирует ее сохранности в случае бедствия вофисе.

СПЕЦИАЛЬНЫЕ БЛАНКИ

Восстановление запаса специальных бланков в слу�чае бедствия путем заказа их у поставщиков, доста�точно длительная процедура. Ситуация можетстать критической, если эти бланки нужны дляважных прикладных систем, например, для расчетазаработной платы, счетов заказчиков и календар�ного планирования производства. Образцы блан�ков должны храниться в безопасном месте.

25


ПРОЦЕДУРЫ

ЭКСПЛУАТАЦИИ СЕРВЕРНЫХ

ПОМЕЩЕНИЙ

• СПИСОК ОТВЕТСТВЕННЫХ ЗА ПРИКЛАДНЫЕСИСТЕМЫ

Приведите здесь список всех систем, находящихсяв эксплуатации, и имена лиц, ответственных за них,указав номера их телефонов и почтовые адреса.

• ПРОЦЕДУРЫ ВКЛЮЧЕНИЯ ПИТАНИЯПриведите здесь текст установленных процедурили укажите, где их можно найти.

• ПРОЦЕДУРЫ НАЧАЛЬНОЙ ЗАГРУЗКИПриведите здесь текст установленных процедурили укажите, где их можно найти.

• ПРОЦЕДУРЫ ВЫКЛЮЧЕНИЯ ПИТАНИЯПриведите здесь текст установленных процедурили укажите, где их можно найти.

• ГРАФИКИПриведите здесь текст установленных процедурили укажите, где их можно найти.

• РЕГИСТРАЦИЯ ВЫЧИСЛИТЕЛЬНЫХ РАБОТ Приведите здесь текст установленных процедурили укажите, где их можно найти.

ОПЕРАЦИОННАЯ СИСТЕМА

ОПЕРАЦИОННАЯ СРЕДА

Оптимальным является использование в резерв�ном помещении тех же операционных систем, чтои в основном вычислительном центре.

СПИСОК СИСТЕМНЫХ ПРОГРАММНЫХ ПАКЕ@

ТОВ

Приведите здесь список используемого программ�ного обеспечения или дайте на него ссылку.

НАКОПИТЕЛИ НА ДИСКАХ И РАЗМЕЩЕНИЕ

ФАЙЛОВ

Если тип и (или) количество накопителей на дисках,имеющихся в резервном помещении, отличаютсяот используемых в основном вычислительномцентре, составьте заранее схему размещения наних постоянных файлов.

ФИЗИЧЕСКОЕ ОБЕСПЕЧЕНИЕ

БЕЗОПАСНОСТИ И

УПРАВЛЕНИЕ ДОСТУПОМ

Физическое обеспечение безопасности начинаетсяс ограничения доступа к имуществу организации.Защищенные компании содержат охрану, котораяконтролирует все пути доступа к офису. Дополни�тельная безопасность при этом обеспечиваетсяперсоналом, находящимся в приемной каждогоздания, каждого этажа или отдела. Дальнейший до�ступ к различным зонам здания обычно контроли�руется системой управления доступом. Система уп�равления доступом предотвращает доступ неупол�номоченных на это лиц в защищенные зоны.

Системы управления доступом бывают:• механические (блокировки); • электронные (обычно электронный блок уп�

равления с ключом);• электромеханические (типа кнопочных уст�

ройств, которые работают с электронными ус�тройствами считывания пропусков);

• цифровые (устройства, которые дают возмож�ность пользователям устанавливать любуюкомбинацию);

• компьютерные (также системы, которые могутвключать сигнал тревоги, регистрировать по�сещаемость сотрудников, контролировать мес�тонахождение сотрудников и формировать от�четы об оперативном контроле).

Права доступа должны быть разграничены для сле�дующих категорий персонала:

• Персонал, обслуживающий компьютеры.• Персонал отдела информационных

технологий.• Специалисты по техническому обслуживанию

и сопровождению.• Персонал других компаний.

Список защищенных зон:

• Аппаратные средства.• Средства связи.• Прочее.

26


ЗАЩИТА ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ

ПАРОЛИ ДОСТУПА К СИСТЕМАМ

Как правило, покупное программное обеспечение,равно как и хост�компьютер, защищены паролями.При входе в систему проводится внутренняя про�верка паролей по таблицам. Если пароль верен, наэкран выводится меню. Когда оператор выбираетэлемент меню, система проверяет по таблице паро�лей имеет ли оператор право доступа к выбранномуэлементу. Права доступа могут ограничиваться воз�можностью совершать любые действия с информа�цией или только считывать ее. Можно маскироватьданные на экране так, чтобы была видна только ин�формация, которую оператор имеет право видеть.Если оператор выбирает в главном меню другой по�купной пакет программ, ему, вероятно, придетсявводить новый пароль, чтобы получить доступ квновь выбранному пакету.

СОПРОВОЖДЕНИЕ ПРИКЛАДНЫХСИСТЕМ

Если исходными текстами прикладных систем за�ведует система ведения библиотеки, некоторыеприкладные программы могут быть защищены па�ролем, ограничивающим доступ к исходному текс�ту. Во многих организациях, которые не изготавли�вают продукцию для конфиденциального исполь�зования, единственными программами, которыезащищены паролем, являются программы для рас�пределения денежных средств, например, расчетазаработной платы и дебиторской задолженности.Защита с использованием пароля поможет предот�вратить несанкционированное внесение измене�ний в программное обеспечение.

ВЕДЕНИЕ ПАРОЛЕЙ

Каждая организация должна иметь формальнуюпроцедуру ведения паролей. В начале процедурыустанавливается порядок задания паролей для но�вых сотрудников. Перед выдачей паролей докумен�ты должны быть утверждены руководством. Приэтом должны быть указаны все полномочия на до�ступ, которые предоставляются сотруднику. Вводпаролей обычно является обязанностью лица, от�ветственного за безопасность, или сотрудника От�дела технического обслуживания. Независимо оттого, кто отвечает за ввод данных, за проверку па�ролей отвечает другой, наделенный только правамипросмотра сотрудник, который осуществляет кон�

троль паролей, по крайней мере, один раз в месяц.Процедура ведения паролей должна также предус�матривать обязательный ввод нового пароля всемиоператорами терминалов по крайней мере один разв квартал.

Формальная процедура также предусматри�вает обязательную ликвидацию пароля, когда со�трудник покидает организацию.

РЕЗЕРВНЫЕ ЦЕНТРЫ

ОБРАБОТКИ ДАННЫХ (ЦОД)

Наличие «горячего» резервного центра обработкиданных (ЦОД) с установленным оборудованием,протестированной операционной средой и крити�чески важными приложениями минимизирует от�рицательные последствия для организации привозникновении бедствия.

«Холодный» резервный ЦОД – пустое по�мещение, оборудованное, как минимум, фальшпо�лом, кондиционерами, гарантированным электро�снабжением, противопожарными средствами и ос�вещением, которое готово к установке вычисли�тельного оборудования.

При возникновении чрезвычайной ситуациипоставщики технических средств будут максималь�но помогать вам, но, тем не менее, поставка обору�дования займет от 6 до 10 дней. Поставленное обо�рудование должно быть установлено и протестиро�вано. Эти задержки необходимо учитывать приоценке последствий чрезвычайных ситуаций длябизнеса.

Наличие полностью оборудованного основ�ного ЦОД и «холодного» резервного помещения,вкупе с разработанными в «Плане восстановленияпосле бедствия (DRP)» процедурами его перевода в«горячий» режим, как правило, экономически наи�более целесообразное решение. Основным недо�статком при этом является неизбежная задержка,связанная с переводом «холодного» резервного по�мещения в «горячий» режим.

АБОНИРОВАНИЕ РЕЗЕРВНОГО ЦОД

На западном рынке существует широкий выборполностью оборудованных резервных ЦОД. Поме�щения могут отличаться по предлагаемой площади,типу и размерам установленного оборудования,средствам обеспечения физической защиты поме�щения или географическому положению, но во

27


всех случаях предлагается основное – работаю�щие компьютеры, готовые к использованию клиен�тами. Контракт на услуги должен содержать следующиесведения: условия и дату вступления в силу, опре�деление терминологии контракта, условия исполь�зования помещения, суммы и график платежа, ус�ловия, касающиеся нескольких одновременныхбедствий, ответственность, изменения аппаратныхсредств, конфиденциальность и условия расторже�ние контракта.

ПЛАН ПОМЕЩЕНИЯ

Компания, с которой заключен контракт, должнапредоставить план помещений, включая компью�терный зал, приемную, зал заседаний и т.п.

ИСПЫТАНИЯ

Для уверенности в действенности Плана в случаебедствия он должен регулярно испытываться. Ос�новной и резервный ЦОДы как правило непрерыв�но обновляются. Добавляется новое программноеобеспечение, модернизируется оборудование ивозможно появление проблем с прикладными сис�темами, которые ранее успешно прошли испыта�ния. Испытания – единственный способ обеспе�чить гарантированный и относительно безболез�ненный перенос деятельности в резервный ЦОД.Испытания должны регулярно документироваться.Нельзя полагаться на знания ключевого специалис�та, который отвечает за восстановление операци�онной системы, необходимых библиотек и файлов.В момент бедствия ключевой специалист наверня�ка будет отсутствовать.

Первоначальное испытание

Первоначальное испытание должно касаться вос�становления операционной системы, тестированияязыка управления заданиями (JCL), восстановле�ния файлов на специфических дисковых системах,проверки системы связи и проверки простого па�кетного задания, запускающего приобретенноепрограммное обеспечение. Потребуются испыта�ния критических прикладных систем. Первона�чальные испытания порой оказываются неудачны�ми. Ключ к успеху – регистрация успехов и неудачс последующей корректировкой Плана, учитываю�щей результаты предыдущих испытаний.

Восстановление файлов и библиотекУдачное восстановление части библиотек и файловна диске при первой попытке испытаний – уже ус�пех. При последующих испытаниях проверяется

восстановление файлов по резервным копиям, за�архивированным в удаленном хранилище. Еслидисковые массивы в резервном помещении отлича�ются от основных, заранее запланируйте, как наних переписывать файлы, сколько места отвестипод рабочие области и т.д.

Испытание критически важных прикладныхсистем Все критически важные прикладные системыдолжны тестироваться. Это единственный способубедиться, что они будут работать в резервном по�мещении. Подготовьте график проведения испыта�ний всех критически важных прикладных систем изафиксируйте все успехи и неудачи.

Испытание систем связиПри испытании некоторых прикладных систем мо�жет потребоваться система связи. Испытание сис�темы связи должно быть проведено как можно ско�рее, чтобы заранее определить потребности в кана�лах связи.

Имитация бедствийНесмотря на наличие плана испытаний в резерв�ном помещении, руководство должно спланиро�вать проведение неожиданных внеплановых испы�таний с использованием имитации бедствий. Приимитации бедствия, когда персонал заранее не зна�ет, когда и какой вид испытаний должен быть про�веден, можно лучше оценить эффективность свое�го Плана.

Испытания компиляции программОбеспечение возможности работы программистовв резервном помещении – существенная частьПлана восстановления после бедствия. Программи�сты должны иметь доступ к исходным текстам про�грамм, перетранслировать их, редактировать свя�зи. Они также нуждаются в доступе к средствампрограммирования и отладки. Необходимо прове�рить возможность трансляции для всех используе�мых языков.

28


ВЕДЕНИЕ ПЛАНА ДЕЙСТВИЙ В НЕПРЕДВИДЕННЫХ

ОБСТОЯТЕЛЬСТВАХ

ОБЯЗАННОСТИ КООРДИНАТОРА ПЛАНИРОВАНИЯ НА СЛУЧАЙ БЕДСТВИЙ

Для того, чтобы предотвратить устаревание Плана, устанавливается график его официального обновления(см. форму ниже). Наряду с плановыми обновлениями проводятся и промежуточные обновления для уче�та возникших изменений (например, изменения адресов, обновления аппаратных средств, закупки про�граммного обеспечения и т.д.). Плановые обновления проводятся с интервалом в шесть месяцев.

Плановая дата Дата выполнения

ОБЪЕМ СТРАХОВОЙ

ОТВЕТСТВЕННОСТИ

Информация – это собственность организации,которая требует такой же защиты, как и другиеформы собственности. Руководство несет ответст�венность перед акционерами по защите всей собст�венности. Компьютеры так же важны для органи�зации, как электроэнергия. Компания не сможетвыжить, если из�за бедствия нельзя будет исполь�зовать компьютеры.

Страхование может покрывать стоимость за�мены/восстановления оборудования и помещений,которым нанесен ущерб в результате бедствия.Страхование от прерывания деятельности служитзащитой от дополнительных издержек в течениепериода восстановления.

Некоторые большие организации имеют«зонтичное» страхование, которое охватывает не�сколько компаний, расположенных в различныхместах. Любой тип страхования организации дол�жен быть согласован с положениями Плана. Нали�чие хорошо документированного и регулярно ис�пытываемого Плана снижает размеры страховыхвзносов.

• СТРАХОВАНИЕ ОБРАБОТКИ ДАННЫХ Укажите, что покрывается страхованием (или при�ведите ссылку на источник этой информации).

• СТРАХОВАНИЕ АППАРАТНОГО ОБЕСПЕЧЕ@НИЯ КОМПЬЮТЕРОВ

Укажите, что покрывается страхованием (или при�ведите ссылку на источник этой информации).

• СТРАХОВАНИЕ ОБРАБОТКИ ДАННЫХ ИНЫ@МИ СРЕДСТВАМИ И ОФИСНОГО ОБОРУ@ДОВАНИЯ


• СТРАХОВАНИЕ ОТ ПРЕРЫВАНИЯ ДЕЯТЕЛЬ@НОСТИ


ВЕДЕНИЕ И ВЫПОЛНЕНИЕ

ПЛАНА

После разработки Плана запускается процесс егорегулярного обновления и совершенствования, чтогарантирует его актуальность и эффективность.Ответственность за ведение Плана несет Коорди�натор планирования на случай бедствий. Выполне�ние Плана – обязанность каждого сотрудника. Ру�ководитель Отдела информационных систем несетответственность за выполнение Плана в целом, новесь персонал должен знать содержание Плана иуведомлять руководителя о выполнении или невы�полнении любого действия, предусмотренного вПлане.

Одним из «церберов» организации являетсяОтдел внутреннего аудита. Отдел отвечает за про�верку того, что все отделы следуют стратегии, кото�рую установило руководство. Во многих случаяхименно Отдел внутреннего аудита “подталкивает”руководство Отдела Информационных технологийк формализации Плана и доведению его до каждо�го сотрудника.

29


ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ ГРУППЫКаждый Руководитель группы обязан также просматривать и обновлять свой раздел Плана по крайней

мере каждые шесть месяцев (см. форму ниже).

КОНТРОЛЬНЫЙ ПЕРЕЧЕНЬ ДЛЯ ПЛАНИРОВАНИЯ НА СЛУЧАЙ

БЕДСТВИЙ

После того, как организация выполнила анализ рисков, необходимо провести инвентаризациюсуществующей среды и запланированных улучшений. Элементы контрольного перечня отражаютпередовой опыт ведения деятельности, который может быть внедрен в вашу практику.

Подготовка к составлению Плана требует участие специалистов во многих областях деятельности.Это не только дает точное представление о состоянии организации, но и создает чувство ответственностиу всего персонала. Любой план, хороший или плохой, будет иметь больший успех, если к нему будутстремиться все участники.

Контрольный перечень разделен на следующие основные категории:• Общие сведения. • Вычислительный центр.• Ввод данных. • Контроль данных.• Помещение, в котором находятся компьютеры.• Библиотека резервных копий. • Передача данных.• Системы и программирование.• Техническая поддержка. • Администрирование базы данных.• Внутренний аудит.• Страхование. • Резервное помещение.• Взаимные соглашения.

Многие из категорий непосредственно соответствуют разделам Плана действий в непредвиденныхобстоятельствах для Отдела информационных технологий. После каждого вопроса имеется место для от�вета: «Да», «Нет» и «Выполняется». Обязательно должен быть ответственный за выполнение действия.Контрольный перечень представляет собой рабочий документ, который может модифицироваться с тече�нием времени.

ОБЩИЕ СВЕДЕНИЯ

Руководители групп Дата ФИО

Группа эксплуатации вычислительных систем _____________ ________________________

Группа ввода и контроля ввода4вывода данных _____________ ________________________

Группа специальных проектов _____________ ________________________

Группа технической поддержки _____________ ________________________

Группа систем и программного обеспечения _____________ ________________________

Группа Отдела страхования _____________ ________________________

Группа Отдела внутреннего аудита _____________ ________________________

Да Нет Выполняется Ответственный/Мероприятие

1. Если бы сегодня в вашем вычислительном центре произошло крупноебедствие, смогла бы ваша организация выжить?2. Проводился ли в последнее время анализ риска и последствийбедствия?3. Известна ли общая стоимость возможных потерь в связи с вашейнезащищенностью от внешнего воздействия?

30


10. Определена ли стоимость планирования на случай бедствий,включая:

• Первоначальные затраты,

• Стоимость разработки плана,

• Стоимость ведения плана?

11. Утвержден ли План высшим руководством?

12. Назначен ли Координатор планирования на случай бедствий?

13. Назначен ли ответственный за корректировку плана?

14. Используется ли в плане концепция групп?

15. Назначен ли руководитель каждой группы?

16. Руководит ли одно и то же лицо несколькими группами?

17. Обновляются ли регулярно имена и номера телефонов?

18. Был ли План рассмотрен отделами внутреннего аудита, защитыинформации и страхования?

19. Обеспечивает ли План восстановление деятельности после крупногобедствия и может ли быть скорректирован на случай менее серьезногособытия?

20. Прошел ли план испытания с использованием только материалов,хранящихся вне основного производственного помещения?

21. Проверяется ли план по крайней мере каждые 6 месяцев?

22. Был ли скорректирован План по результатам испытания?

23. Проводилось ли когда4либо внезапное испытание плана?

24. Имеются ли в плане инструкции, касающиеся:

• Процедур действий в чрезвычайной ситуации,

• Организационной структуры, которая начинаетфункционировать после бедствия,

• Хранения всех материалов, используемых для восстановлениядеятельности после бедствия, вне основногопроизводственного помещения?

25. Обеспечены ли для хранилища вне основного производственногопомещения: 244часовый доступ, физический контроль доступа, наличиесейфов, защита от пожара, курьерская служба, время перемещения позамкнутому маршруту менее 1 часа, доступ в него толькоуполномоченных лиц?

26. Хранятся ли резервные копии в отдельно контролируемомпомещении внутри контролируемой зоны?27. Вся ли системная документация, за исключением распечатокпрограмм, хранится в несгораемом шкафу, когда она не используется?

4. Установлены ли приоритеты всех ваших программ?

5. Определено ли максимально допустимое время бездействия для всехваших систем?

6. Установлены ли цели плана на случай бедствий и допущения, накоторых он основан?7. Имеется ли план на случай бедствий и регулярно ли он в обновляется?

8. Указаны ли в плане резервные помещения:

• «Горячее» резервное помещение,

• «Холодное» резервное помещение,

• Предусмотрены ли взаимные соглашения?

9. Поступают ли из резервного помещения уведомления об изменениях ваппаратных средствах или программном обеспечении?

28. Имеются ли письменные инструкции, которые определяютобязанности пользователей персональных компьютеров (ПК) порезервному копированию и защите своих файлов?

29. Доведены ли эти инструкции до сведения всех пользователей ПК?

30. Проинформирован ли весь персонал вычислительного центра отно4сительно конфиденциальности всей информации, с которой онработает?

31



1. Имеет ли вычислительный центр освещенные наружные указатели?

2. Защищено ли здание охранниками, оградой, системами сигнализациии (или) системой внутреннего наблюдения?

3. Помещена ли проводка всех систем контроля и сигнализации втрубопроводы?

4. Совершают ли охранники регулярный обход здания?

5. Если охранники не используются, имеются ли лица, ответственные забезопасность, обученные профессионалами?

6. Назначен ли ответственный за безопасность вычислительного центра,компании или здания?

7. Находятся ли охранники или персонал помещения, в которомрасположены компьютеры, всегда на рабочем месте?

8. Организован ли доступ в помещение и различным его зонам покарточкам?

9. Все ли служащие носят идентификационные значки?

10. Осуществляется ли регистрация входящих и выходящих посетителей?

11. Имеется ли охрана в приемной?

12. Опубликована ли информация на случай чрезвычайной ситуации вофисе или здании, которая содержит описание процедур на случай:

• Оказания медицинской помощи,

• Пожара,

• Эвакуации,

• Угрозы наличия бомбы,

• Проникновения посторонних,

• Отказа электрического питания?

13. Назначен ли ответственный за обеспечение информацией, обучение иконтроль за положениями, указанными в пункте 12?

14. Имеются ли во всех коридорах схемы эвакуации?

15. Все ли служащие получили инструктаж и обучение по процедурамдействий в чрезвычайных ситуациях?

16. Проводятся ли регулярные пожарные учения под контролемначальника местной пожарной команды?

17. Имеется ли письменная процедура увольнения, которая включаетконтрольный перечень предметов, которые должны быть возвращеныкомпании (например, ключей, идентификационных значков, карточек длядоступа и т.д.) в случае увольнения сотрудника?

18. Выполняют ли обязанности всех служащих, находящихся в отпуске,другие лица?

19. Все ли помещения всех зданий имеют систему пожарнойсигнализации?

20. Проводились ли испытания оборудования для обнаружения и тушенияпожара в последние 6 месяцев?

21. Проводит ли страховая компания или отдел пожарной охраныежегодные противопожарные инспекции?

22. Защищено ли хранилище для форм и запасов материаловспринклерными системами?

23. Имеются ли в хранилище датчики дыма?

ВЫЧИСЛИТЕЛЬНЫЙ ЦЕНТР

ВВОД ДАННЫХ

КОНТРОЛЬ ДАННЫХ

32



1. Существуют ли иные варианты ввода данных, которые обычно вводятсяв оперативном режиме?

2. Обеспечены ли возможности для ввода данных во внешнем помещениипри чрезвычайных ситуациях?

3. Хранится ли копия инструкций по вводу данных в удаленномхранилище?

4. Если для ввода данных используется пакет программ, доступен ли ондля внешних служб?

5. Приняты ли меры для того, чтобы ввод данных могли осуществлятьдочерние предприятия или филиалы?

6. Задокументированы ли все ручные процедуры, выполняемые при вводеданных, и хранятся ли копии этих документов в удаленном хранилище?

7. Собраны ли исходные документы в пакеты и контролируются ли онидругим отделом?

8. Регистрируется ли на исходных документах после ввода дата и времяввода и оператор?

9. Хранятся ли в течение непродолжительного времени исходныедокументы в их первоначальных пакетах, чтобы в случае необходимостиих можно было ввести заново?

10. Возвращаются ли исходные документы после ввода данных в Отделконтроля данных?

11. Можно ли в случае необходимости восстановить деятельность Отделаввода данных в другом помещении в приемлемо короткое время?


1. Ограничен ли доступ в Отдел контроля данных?

2. Проходят ли все исходные документы и компьютерные отчеты черезэтот отдел для контроля и устранения несоответствий? 3. Имеется ли альтернативный способ передачи отчетов пользователямпри отказе системы связи? 4. Отвечает ли этот отдел за контроль бланков чеков?

5. Имеется ли письменная процедура для выдачи запаса незаполненныхчеков вне помещения, в котором находятся компьютеры? 6. Разные ли люди подписывают чеки, балансируют и распределяют их?

7. Можно ли заменить подписанта чеков в течение ночи?8. Имеется ли какое4либо специальное офисное оборудование, котороеимеет критически важное значение для работы вычислительного центраи меры по резервированию которого не были приняты?

9. Хранятся ли в организации резервные факсимиле подписей вудаленном хранилище? 10. Имеется ли формальная система для заказных форм, в которойхранятся идентификаторы всех форм, даты их повторного заказа, данныеоб их поставщиках и альтернативных поставщиках? 11. Хранится ли небольшое число всех критически важных заказных формв удаленном хранилище?

12. Хранятся ли экземпляры всех спецификаций форм и экземплярыокончательно утвержденных форм в удаленном хранилище? 13. Хранится ли адресный список для всех поставщиков офисногооборудования и форм?14. Запланирован ли альтернативный способ вывоза и доставки на тотслучай, если нельзя будет использовать основной способ? 15. Имеется ли для каждого напечатанного отчета список рассылки, вкотором указывается: количество экземпляров, сортировка, разбивка начасти, способ доставки, наименования получателя и номер телефонаполучателя?

33

ПОМЕЩЕНИЕ, В КОТОРОМ НАХОДЯТСЯКОМПЬЮТЕРЫ



1. Ограничен ли доступ в помещение, в котором находятся компьютеры?

2. Разрешено ли пользоваться компьютерами только операторам?

3.Защищена ли комната галогенным, углекислым газом илиспринклерными системами?

4. Размещаются ли датчики дыма:

• На потолке,

• Под фальшполом,

• В трубопроводах кондиционеров воздуха?

5. Будут датчики дыма функционировать даже в случае отключенияэлектрического питания?

6. Размещены ли огнетушители у всех выходов?

7. Размещены ли под полом датчики воды?

8. Хранятся ли в помещении, в котором находятся компьютеры,водонепроницаемые покрывала на случай чрезвычайных ситуаций?

9. Установлена ли система бесперебойного электрического питания наслучай кратковременных отключений питания?

10. Имеется ли генератор на случай длительного отключения питания?

11. Имеется ли аварийное освещение в помещении, где находятсякомпьютеры?

12. Установлен ли у выходов аварийный выключатель электрическогопитания?

13. Имеется ли более одной системы охлаждения, чтобы обеспечитьработоспособность компьютеров, если одна из систем откажет?

14. Будет ли подан сигнал тревоги при отключении системыкондиционирования воздуха?

15. Осуществляется ли контроль температуры и влажности?

16. Сработает ли какая4либо визуальная или звуковая аварийнаясигнализация, если будут превышены предельно допустимые значения?

17. Установлены ли противопожарные двери на всех входах в помещение,в котором находятся компьютеры?

18. Хранятся ли бланки чеков в защищенном месте?

19. Имеются ли письменные инструкции для включения и выключенияпитания системы?

20. Имеются ли письменные инструкции для действий в чрезвычайнойситуации?

21. Имеется ли копия Плана действий в непредвиденных обстоятельствахдля Отдела Информационных технологий в помещении, в которомнаходятся компьютеры?22. Используется ли библиотека процедур, которая содержит всеуправление заданиями, необходимое для выполнения потоков заданий?

23. Имеется ли формализованная система составления графикавыполнения заданий либо с помощью компьютера, либо вручную?

24. Назначен ли ответственный за анализ графика и ввод всейинформации контрольной записи?

25. Защищен ли ввод информации контрольной записи и подобныхфункций управления заданиями от вмешательства оператора?

34


26. Управляются ли лентопротяжные устройства системой ведениябиблиотеки? 27. Анализирует ли руководитель причины, по которым оператордействует в обход системы ведения библиотеки?28. Просматривает ли руководство службы эксплуатации протоколрегистрации на системной консоли и список ошибок, чтобы убедиться втом, что выявленные ошибки исправлены, а повторяющиеся ошибкипредотвращены?29. Имеются ли письменные процедуры перезапуска для всехэксплуатируемых систем?30. Указано ли в процедурах перезапуска, что выполнение заданийдругими системами, вероятно придется повторить, даже если оно быловыполнено успешно?31. Задокументированы ли детальные процедуры восстановления длявсех высокоприоритетных систем?32. Регистрируются ли все проблемы в помещении, в котором находятсякомпьютеры?33. Осуществляется ли сопоставление измеренного времени систекшим?34. Имеется ли формализованная Система управления разрешениемпроблем для помещения, в котором находятся компьютеры, всоответствии с которой проблемы рассматриваются специалистамислужбы эксплуатации и программистами и определяются меры для ихустранения? 35. Анализирует ли руководство службы эксплуатации все простои?36. Анализирует ли Отдел эксплуатации все управление заданиями,после того как испытания завершены и прежде чем программы будутвведены в эксплуатацию?37. Имеются ли Руководства по выполнению заданий для всехпроизводственных прикладных систем?38. Имеют ли операторы легкий доступ к Руководствам по выполнениюзаданий?39. Хранятся ли копии Руководств по выполнению заданий в удаленномхранилище?40. Задокументирована ли вся специальная обработка данных в концекаждого квартала и года?41. Планируется ли выполнение пакетных заданий для каждой смены?42. Имеется ли автоматизированная система учета заданий? 43. Анализируются ли отчеты о выполнении заданий, чтобы обнаружитьнеобычный ход их выполнения?44. Проводится ли анализ всех новых систем, чтобы проверить, что копиифайлов должным образом направляются в удаленное хранилище?45. Имеется ли список всех аппаратных средств компьютеров суказанием серийных номеров, средств и линий связи, требований кэлектрическому питанию, требований к охлаждению, требований кплощади и список допустимого оборудования для замены всегоперечисленного выше и хранится ли копия этого списка в удаленномхранилище? 46. Имеется ли схема размещения кабелей и описание разъемов дляимеющегося оборудования и хранятся ли их копии в удаленномхранилище? 47. Ведется ли список данных о всех поставщиках компьютерногооборудования и материалов?48. Запросили ли вы у поставщика технических средств, бывших вупотреблении, список имеющегося оборудования, чтобы подготовиться кчрезвычайной ситуации? 49. Осуществляется ли ежедневное создание резервных копий и ихпередача в удаленное хранилище для следующего:

• библиотека процедур;

• система ведения библиотеки резервных копий;

• график выполнения заданий?

50. Имеется ли формальная процедура вывода программ изупотребления?

51. Задокументированы ли процедуры для работы с микрофишами ихранятся ли их копии в удаленном хранилище?

52. Имеются ли водопроводные трубы вблизи или над помещением, вкотором находятся компьютеры? 53. Имеется ли угроза утечки воды из близлежащих помещений: кухни,комнат для отдыха и т.п.?

35

БИБЛИОТЕКА РЕЗЕРВНЫХ КОПИЙ

СИСТЕМЫ И ПРОГРАММИРОВАНИЕ



1. Защищена ли библиотека галогенным, углекислым газом илиспринклерными системами?2. Имеются ли в библиотеке датчики дыма?

3. Имеется ли на входе в библиотеку противопожарная дверь?

4. Имеется ли в библиотеке аварийное освещение?

5. Ограничен ли доступ к библиотеке благодаря использованию карточекили других средств ограничения доступа? 6. Установлен ли снаружи входа в библиотеку огнетушитель?

7. Хранятся ли в библиотеке другие материалы, кроме резервныхносителей? 8. Имеет ли удаленное хранилище резервных носителей средстваобеспечения безопасности, защиту от пожара, 244часовый доступ,систему вывоза и доставки?


1. Создаются ли резервные копии всего прикладного программногообеспечения, которые направляются в удаленное хранилище?2. Требуется ли утверждение всех изменений в программах? 3. Имеются ли контрольные следы, идентифицирующие любуюпрограмму, которая была скопирована для изменения, или новуюразрабатываемую программу?4. Защищено ли паролями все прикладное программное обеспечение,ответственное за распределение денежных средств, например,подготовку расчетной ведомости и счетов к оплате?

5. Имеют ли вышеупомянутые системы адекватные средства контроля,например, подсчет итоговых величин для пакета, подсчет контрольныхсумм и др.? 6. Делаются ли в отчете отметки о контрольном следе контрольныевеличины, значения которых выходят за пределы нормальногодиапазона?7. Указаны ли в контрольном следе счетов к оплате список получателейплатежа для всех проверок?8. Для всех ли финансовых прикладных программ составляются полныеотчеты о контрольных следах? 9. Хранится ли вся документация для систем, функционирующих восновном производственном помещении, в несгораемых шкафах? 10. Просят ли пользователей помочь в подготовке данных для испытаний?

11. Имеется ли формальная методика для проектирования ипрограммирования?

12. Завершается ли этап проектирования до начала этапапрограммирования?

13. Имеются ли письменные стандарты проектирования ипрограммирования?

14. Классифицированы ли постоянные файлы как критически важные,важные, полезные и несущественные?

15. Требуется ли в соответствии со стандартами создание резервныхкопий всех критически важных файлов?

16. Хранятся ли 3 самых последних версии всех важных и критическиважных файлов?

17. Требуют ли стандарты, чтобы все программы имели должныесредства контроля и контрольные суммы для аудита, обнаружения иисправления ошибок?

18. Сохраняются ли данные для испытаний с требуемыми результатамииспытаний и используются ли они для усиленно сопровождаемых системтипа систем для подготовки расчетной ведомости?

36

ТЕХНИЧЕСКАЯ ПОДДЕРЖКА


19. Вносятся ли изменения всегда в исходный текст программ?

20. Хранится ли исходный текст программ в библиотеке, резервная копиякоторой создается и направляется в удаленное хранилище?

21. Анализируются ли отчеты о редактировании связей программ наналичие ошибок и сохраняются ли они с распечаткой исходного текста?

22. Всегда ли тестируются программы даже тогда, когда в них вносятсянезначительные изменения?

23. Анализирует ли руководство время от времени изменения впрограммах и результаты испытаний?

24. Утверждают ли отделы пользователей изменения программ ианализируют ли они результаты испытаний?

25. Имеется ли формальная процедура для ввода разрабатываемойпрограммы в эксплуатацию?

26. Необходимо ли наличие Руководства по эксплуатации для вводапрограммы в эксплуатацию?

27. Задокументированы и запрограммированы ли все измененияприобретенного программного обеспечения таким образом, что это ненарушает поставленного текста программ?

28. Имеется ли список всех имеющихся систем с указаниемответственных лиц?29. Имеется ли список всех программ системы?

30. Имеется ли для каждой системы лицо, ответственное за резервноекопирование?

31. Обновляется ли документация?

32. Ведется ли документация в компьютере, создается ли ее резервнаякопия и направляется ли она в удаленное хранилище?

33. Имеется ли список всех технических руководств, чтобы они могли бытьзаменены в случае необходимости?

34. Устанавливает ли политика вашей компании период хранения файловинформации о фондах компании, об акционерах, данных оналогообложении, информации о персонале и других жизненно важныхданных?35. Хранится ли информация о размещении данных в течение периодахранения вместе с носителями файлов?

36. Была ли идентифицирована исходная информация, на основекоторой созданы сохраняемые данные?


1. Создаются ли резервные копии операционных систем, которыенаправляются в удаленное хранилище?2. Ведется ли список всего программного обеспечения операционнойсистемы?3. Прошел ли персонал Отдела обучение смежным специальностям,чтобы каждый мог осуществлять резервное копирование?4. Задокументированы ли все ответственности, обязанности и процедурыи хранятся ли копии этих документов в удаленном хранилище?5. Ведется ли список данных о всех поставщиках программногообеспечения?6. Приняты ли меры для того, чтобы приобретенное программноеобеспечение могло функционировать на другой системе в случаечрезвычайной ситуации? 7. Хранится ли копия параметров SYSGEN в удаленном хранилище?8. Имеется ли полная версия документации, объясняющая каквосстановить операционную систему в резервном помещении?9. Документируется ли использование всех дисковых устройств?10. Составлен ли план использования дополнительных дисковыхустройств?

11. Имеется ли документация, объясняющая как изменить языкуправления заданиями для их выполнения в резервном помещении?

37


АДМИНИСТРИРОВАНИЕ БАЗЫДАННЫХ

ВНУТРЕННИЙ АУДИТ

СТРАХОВАНИЕ

РЕЗЕРВНОЕ ПОМЕЩЕНИЕ


1. Идентифицированы ли все базы данных?2. Идентифицированы ли все программы, которые обновляют данные вкаждой базе? 3. Проводится ли непрерывная регистрация всех действий, которыеобновляют базы данных? 2. Идентифицированы ли все программы, которые обращаются к каждойбазе данных?5. Создаются ли резервные копии баз данных, которые направляются вудаленное хранилище? 6. Имеются ли контрольные следы, идентифицирующие базы данных,которые архивируются, и формируются ли эти отчеты ежедневно? 7. Имеются ли задокументированные процедуры проверки правильностиинформации в каждой базе данных после ее восстановления?8. Имеется ли документация, идентифицирующая несколько баз данных,которые должны быть синхронизированы друг с другом?


1. Проводили ли вы анализ Плана действий в непредвиденныхобстоятельствах для Отдела Информационных технологий?2. Наблюдали ли вы за выполнением испытаний по восстановлению, прикоторых использовались только материалы, хранящиеся вне основногопроизводственного помещения? 3. Анализируете ли вы периодически работу вычислительного центра иделаете ли письменные рекомендации по совершенствованиюпроцедур, обеспечения безопасности и контроля?

4. Требуется ли отделам пользователей сверять выходные данныекомпьютеров с полученными вручную итогами в целях аудита иобеспечения безопасности?5. Сохраняете ли вы тестовые данные, которые обрабатываютсясистемами выплаты денежных средств, чтобы убедиться, что этаобработка дает требуемые результаты?


1. Было ли проинформировано руководство вычислительного центраотносительно того, что покрывается страхованием?2. Предусматривает ли страховой полис покрытие прерываниядеятельности?3. Имеется ли в организации отдел, ответственный за страховую защиту? 4. Есть ли у вас экземпляр страхового полиса? 5. Проводили ли вы анализ страховой защиты в прошлом году? 6. Проводите ли вы ежегодно анализ вашего страхования сострахователем?7. Охватывает ли страховое покрытие аппаратные средства обработкиданных и программное обеспечение?8. Проводили ли Вы анализ риска или последствий для вычислительногоцентра?


1. Абонируете ли вы в настоящее время полностью оборудованноерезервное помещение?2. Расположено ли резервное помещение на таком расстоянии,которое гарантирует, что это помещение не будет затронутокрупномасштабным бедствием?3. Обеспечена ли безопасность резервного помещения, по крайнеймере настолько же хорошо, как вашего нынешнего помещения? 4. Использовали ли вы когда4либо резервное помещение при имитациибедствия?5. Имеется ли возможность доступа в резервное помещение в течениевремени, достаточного для проведения испытаний?

38

ВЗАИМНЫЕ СОГЛАШЕНИЯ



1. Имеете ли вы официальное взаимное соглашение, действующее внастоящее время?2. Имеет ли компьютер другой организации достаточно временныхресурсов, чтобы вы могли использовать его совместно с этойорганизацией?3. Имеет ли ваш компьютер организации достаточно временныхресурсов, чтобы другая организация могла использовать его совместнос вашей?4. Являются ли обе совместимые компьютерные системы совместимыми?5. Имеют ли обе компьютерных системы пропускную способность,достаточную для одновременного функционирования критически важныхприкладных систем обеих организаций? 6. Является ли совместимыми операционные системы?7. Сможет ли ваша сеть связи быстро соединяться с компьютерамидругой организации и имеется ли достаточно памяти?8. Имеет ли вычислительный центр специализированные аппаратныесредства типа лазерных принтеров или накопителей на кассетах?9. Согласились ли обе организации уведомлять друг друга обизменениях в аппаратных средствах или программном обеспечении? 10. Будет ваше приобретенное программное обеспечение работать вдругом вычислительном центре? 11. Протестировали ли вы критически важную прикладную систему вдругом вычислительном центре?12. Имеется ли в другом вычислительном центре временное хранилищедля печатных форм?13. Имеется ли в другом вычислительном центре временное хранилищевашей библиотеке резервных копий?14. Имеется ли в другом вычислительном центре временное офисноепомещение для персонала, обеспечивающего эксплуатациюкомпьютеров?

ПРИЛОЖЕНИЕ 1.

МЕЖОТРАСЛЕВАЯ КЛАССИФИКАЦИЯ БИЗНЕС@ПРОЦЕССОВ

НА ПРЕДПРИЯТИЯХ

Концепция цепочки продуктивных процессов предложена профессором Гарвардской школы бизнесаМайклом Портером и широко используется в области консультационных услуг по совершенствованиюдеятельности компаний для обеспечения их конкурентоспособности.

Компания Прайс Уотерхаус адаптировала данную концепцию для ее использования в системеKnowledgeViewSM в качестве модели для классификации и структуризации бизнес�процессов иразработала на основе этой концепции «Международный язык бизнеса», который позволяетанализировать и сопоставлять на единой основе процессы в различных сферах деятельности. Этот языкохватывает 9 областей цепочек для отдельных сфер деятельности. Продуктивные процессынепосредственно влияют на продукт или услугу, предоставляемую клиенту.

Данная классификация процессов используется в программе KnowledgeView для структуризацииинформации о лучших практических методах работы и помогает компаниям проводить мероприятия поповышению эффективности своей деятельности.

ОБЛАСТИ ЦЕПОЧКИ ПРОДУКТИВНЫХ ПРОЦЕССОВ

Маркетинг(MA)

Разработкапродуктов /

услуг (DP)

Производствопродуктов /

услуг (PR)

Управлениеснабжением,

сбытом идоставкой

(LD)

Осуществлениепродаж и

управлениеобслуживанием

клиентов (CS)

39


ОБЛАСТИ ОБЕСПЕЧИВАЮЩИХПРОЦЕССОВ

• (BI) Совершенствование деятельности организации

• (EM) Управление защитой окружающей среды

• (EX) Управление внешними связями

• (FA) Управление корпоративными

службами/помещениями

• (FM) Управление финансами

• (HR) Управление персоналом

• (LG) Управление юридическими услугами

• (PM) Планирование и управление

• (PO) Снабжение

• (SY) Разработка и сопровождение

систем/технологий

ОБЛАСТИ ЦЕПОЧКИ ПРОДУКТИВНЫХ ПРОЦЕС@

СОВ

Маркетинг MA

MA – Изучение клиентов/рынков

MA – Разработка стратегии/планов маркетинга

MA – Управление продуктами/услугами

MA – Задание и регулирование цен

MA – Планирование и управление каналами продаж

MA – Рекламирование и продвижение продуктов/услуг

Разработка продуктов/услуг DP

DP – Исследование продуктов/услуг

DP – Проектирование и разработка продуктов/услуг

DP – Создание и испытание прототипов

DP – Разработка и реализация процессов изготовления

DP – Разработка и реализация процедур обслуживания

Производство продуктов/услуг PR

PR – Разработка и корректировка процедур

PR – Планирование и использование производственных

мощностей

PR – Календарное планирование производства

PR – Производство и упаковка продуктов/услуг

PR – Управление техническими изменениями

PR – Управление качеством продуктов/услуг

PR – Выбор, получение, установка оборудования и его тех�

ническое обслуживание

Управление снабжением, сбытом и доставкой LD

LD – Управление запасами

LD – Получение материалов/припасов

LD – Поставка продуктов

LD – Установка продуктов, предоставление услуг

Осуществление продаж, управление обслуживанием

клиентов CS

CS – Продажа продуктов/услуг

CS – Развитие и поддержание взаимоотношений с клиента�

ми

CS – Ввод и обработка заказов, отслеживание их выполне�

ния

CS – Выставление счетов клиентам

CS – Обработка запросов и предоставление сервисной под�

держки клиентам

CS – Обработка жалоб/гарантийных обязательств/ претен�

зий/возвратов

CS – Оценка степени удовлетворенности клиентов

ОБЛАСТИ ОБЕСПЕЧИВАЮЩИХ ПРОЦЕССОВ

Совершенствование деятельности организации BI

BI – Оценка существующей структуры/культуры органи�

зации

BI – Проектирование и внедрение новой организационной

структуры

BI – Разработка и ведение процесса сопоставительного ана�

лиза

BI – Разработка и ведение процесса непрерывного совер�

шенствования деятельности

BI – Разработка и ведение процесса управления знаниями

Управление защитой окружающей среды EM

EM – Обеспечение соблюдения требований постановлений

и законов

EM – Формулировка стратегии управления защитой окру�

жающей среды

EM – Реализация программы реагирования на чрезвычай�

ные происшествия

EM – Реализация программы предотвращения загрязнения

внешней среды

EM – Управление мероприятиями по восстановлению окру�

жающей среды

EM – Контроль выполнения программы управления защи�

той окружающей среды

EM – Теоретическое и практическое обучение сотрудников

в области защиты окружающей среды

Управление внешними связями EX

EX – Управление отношениями с местным населением и

общественностью

EX – Управление отношениями с государственными и регу�

лирующими органами

EX – Управление отношениями с инвесторами

EX – Управление взаимоотношениями с потенциальными

финансирующими организациями

EX – Управление отношениями с профсоюзами

Управление корпоративными службами/помещениями

FA

FA – Разработка и руководство программой ведения учет�

ных документов

FA – Управление рабочими помещениями и уход за ними

FA – Организационная работа

FA – Планирование и приобретение помещений

Управление финансами FM

FM – Оценка финансовой эффективности и управление ею

FM – Управление наличностью

FM – Управление финансовыми политиками и процедурами

FM – Управление финансовым риском

FM – Управление внутренним аудитом

FM – Управление внутренним контролем

FM – Обработка сбора долгов и управление им

FM – Обеспечение финансирования

FM – Распределение капитала

FM – Закрытие

FM – Учет и контроль затрат

FM – Управление затратами

FM – Учет основных фондов и управление ими

FM – Ведение общего бухгалтерского учета

FM – Выставление внутренних счетов и управление внутри�

организационными расчетами

FM – Планирование, составление бюджета и прогнозирова�

ние

FM – Оценка прибыльности

FM – Обработка счетов к получению

FM – Обработка счетов к оплате

FM – Оценка кредитоспособности клиента

FM – Обработка возмещения служебных затрат сотрудни�

кам

FM – Обработка заработной платы

FM – Обработка налогов

FM – Подготовка финансовых отчетов

Управление персоналом HR

HR – Руководство процессом разбора жалоб сотрудников

HR – Разработка программы вознаграждения

HR – Разработка и внедрение системы сбора предложений

сотрудников

HR – Управление и руководство предоставлением льгот

HR – Управление обменом информацией среди сотрудников

HR – Планирование и проведение обучения сотрудников

HR – Оценка эффективности труда и вознаграждение за хо�

рошую работу

HR – Набор сотрудников

Управление юридическими услугами LG

LG – Разработка и выполнение программы превентивной

юридической грамотности

LG – Обеспечение соблюдения законодательства и инструк�

ций

LG – Управление взаимоотношениями с внешними юрис�

консультами

LG – Участие в переговорах и подготовка проектов соглаше�

ний/контрактов

LG – Защита интеллектуальной собственности

LG – Предоставление юридических рекомендаций/кон�

сультаций

LG – Разрешение конфликтов и участие в судебных процес�

сах

Планирование и управление PM

PM – Разработка плана капиталовложений и инвестиций

PM – Разработка оперативного плана

PM – Разработка стратегического плана

PM – Разработка и ведение плана налогообложения

PM – Разработка и применение систем управления общей

эффективностью деятельности организации

PM – Управление программами/проектами

PM – Контроль выполнения и корректировка планов

Снабжение PO

PO – Управление взаимоотношениями с поставщиками и

субподрядчиками

PO – Приобретение материалов/припасов

PO – Оценка и выбор поставщиков/субподрядчиков

Разработка и сопровождение систем/технологий SY

SY – Разработка и сопровождение прикладных программ

SY – Разработка, сопровождение и управление системами

защиты информации

SY – Оценка, выбор и приобретение технических средств/

компьютерных платформ

SY – Оценка, выбор и приобретение пакетов программного

обеспечения

SY – Управление ресурсами информационной системы

SY – Планирование развития систем и технологий

SY – Предоставление информационных отчетов

И Н Ф О Р М А Ц И О Н Н Ы Й Б Ю Л Л Е Т Е Н Ь

И з д а е т с я с 1 9 9 5 г о д а

Издатель: компания Джет Инфо Паблишер Подписной индекс по каталогу Роспечати

Полное или частичное воспроизведение материалов, содержащихся в настоящем издании, допускается только по согласованию с издателем

32555

Россия, 127015, Москва, Б. Новодмитровская, 14/1тел. (095) 411 76 01факс (095) 411 76 02Email: [email protected] http://www.jetinfo.ru

Главный редактор: Дмитриев В.Ю. ([email protected])Технический редактор: Овчинникова Г.Ю. ([email protected])

DRP-ОИО-JET-2003_8

Documents

bi bi bi

msk